Бесплатно Экспресс-аудит сайта:

08.09.2024

Неожиданный враг: северокорейские хакеры проникают в Кремль

Анализ угроз, связанных с кампанией Konni, показывает нарастающую активность группы Kimsuky, применяющей различные методы для скрытных атак. Опасность заключается в использовании легальных облачных сервисов и FTP для этапного заражения целевых систем, что затрудняет обнаружение вредоносных файлов. Кампания поражает не только системы в Южной Корее, но и российские государственные учреждения, а также другие международные объекты.

Используя такие методы, как spear-phishing и вредоносные документы (например, файлы с расширением `.exe`, `.scr`, `.ppam`), злоумышленники маскируют свои атаки под легитимные запросы или документы. В ходе одной из таких атак, выявленных в 2022 году, злоумышленники использовали фальшивые документы, связанные с внешнеполитической деятельностью России, а также документами о налогах и финансовых операциях, что подтверждает широкие цели кампании.

Для выполнения команд удаленного управления злоумышленники используют бесплатные домены и хостинг-сервисы, что упрощает создание и скрытие серверов командного управления (C2). Важным элементом атак является модификация и внедрение вредоносного ПО через создание программных закладок (RAT) с использованием PowerShell и VBS, которые затем выполняют зашифрованные команды на скомпрометированных устройствах.

Многочисленные обнаруженные в ходе анализа файлы демонстрируют способность группы адаптироваться к условиям и использовать сложные методы обхода традиционных систем защиты, включая файловые и бесфайловые атаки. Современные системы обнаружения и реагирования на конечных точках (EDR) позволяют более оперативно выявлять угрозы и предотвращать их развитие на ранних стадиях, что снижает риск масштабных утечек данных.

За последние годы кампании, связанные с Kimsuky, включают не только целевые атаки на государственные органы, но и атаки на представителей криптовалютных операций, что указывает на финансовые мотивы группы.