Было замечено, что северокорейский участник угрозы, отслеживаемый как Кимсуки, использует ранее недокументированную вредоносную программу на базе Golang, получившую название Durian, в рамках целенаправленных кибератак, направленных на южнокорейские криптовалютные компании.
"Durian может похвастаться обширными функциями бэкдора, позволяющими выполнять доставленные команды, загружать дополнительные файлы и эксфильтрацию файлов", - сказал Касперский в своем отчете APT trends за 1 квартал 2024 года.
Атаки, произошедшие в августе и ноябре 2023 года, повлекли за собой использование законного программного обеспечения, эксклюзивного для Южной Кореи, в качестве пути заражения, хотя точный механизм, используемый для манипулирования программой, в настоящее время неясен.
Известно лишь, что программное обеспечение устанавливает соединение с сервером злоумышленника, что приводит к извлечению вредоносной полезной нагрузки, которая запускает последовательность заражения.
На первом этапе оно служит установщиком дополнительного вредоносного ПО и средством обеспечения сохраняемости на хосте. Оно также прокладывает путь для вредоносного ПО-загрузчика, которое в конечном итоге запускает Durian.
Durian, со своей стороны, используется для внедрения новых вредоносных программ, включая AppleSeed, основной бэкдор Kimsuky, пользовательский прокси-инструмент, известный как LazyLoad, а также другие законные инструменты, такие как ngrok и Chrome Remote Desktop.
"В конечном итоге злоумышленник внедрил вредоносное ПО для кражи данных, хранящихся в браузере, включая файлы cookie и учетные данные для входа", - сказал Касперский.
Примечательным аспектом атаки является использование LazyLoad, которое ранее использовалось Andariel, подразделением Lazarus Group, что повышает вероятность потенциального сотрудничества или тактического совпадения между двумя участниками угрозы.
Известно, что группа Kimsuky активна как минимум с 2012 года, ее вредоносная киберактивность также распространяется на APT43, Black Banshee, Emerald Sleet (ранее Thallium), Springtail, TA427 и Velvet Chollima.
По оценкам, она является подчиненным элементом 63-го исследовательского центра, входящего в Главное разведывательное бюро (RGB), главную военную разведывательную организацию королевства-отшельника.
"Основная миссия Kimsuky actors заключается в предоставлении украденных данных и ценной геополитической информации северокорейскому режиму путем компрометации политических аналитиков и других экспертов", - заявили в предупреждении Федеральное бюро расследований США (ФБР) и Агентство национальной безопасности (АНБ) ранее в этом месяце.
"Успешные компромиссы в дальнейшем позволяют злоумышленникам Kimsuky создавать более надежные и эффективные фишинговые электронные письма, которые затем могут быть использованы против более чувствительных и ценных целей".
Злоумышленник из национального государства также был связан с кампаниями, которые распространяют троянец удаленного доступа на основе C # и похититель информации под названием TutorialRAT, который использует Dropbox в качестве "базы для своих атак, чтобы избежать мониторинга угроз", сказал Symantec, принадлежащий Broadcom.
"Эта кампания, по-видимому, является продолжением кампании по угрозам BabyShark от APT43 и использует типичные методы фишинга, включая использование файлов быстрого доступа (LNK)", - добавлено в нем.
Разработка происходит после того, как Центр анализа безопасности AhnLab (ASEC) подробно рассказал о кампании, организованной другой северокорейской хакерской группой, спонсируемой государством, под названием ScarCruft, которая нацелена на южнокорейских пользователей с помощью файлов быстрого доступа Windows (LNK), кульминацией которой является развертывание RokRAT.
Противоборствующий коллектив, также известный как APT37, InkySquid, RedEyes, Ricochet Chollima и Ruby Sleet, как говорят, связан с Министерством государственной безопасности Северной Кореи (MSS) и занимается тайным сбором разведданных в поддержку стратегических военных, политических и экономических интересов страны.
"Обнаружено, что недавно подтвержденные файлы быстрого доступа (*.LNK) нацелены на южнокорейских пользователей, особенно тех, кто связан с Северной Кореей", - сказал ASEC.
"Durian может похвастаться обширными функциями бэкдора, позволяющими выполнять доставленные команды, загружать дополнительные файлы и эксфильтрацию файлов", - сказал Касперский в своем отчете APT trends за 1 квартал 2024 года.
Атаки, произошедшие в августе и ноябре 2023 года, повлекли за собой использование законного программного обеспечения, эксклюзивного для Южной Кореи, в качестве пути заражения, хотя точный механизм, используемый для манипулирования программой, в настоящее время неясен.
Известно лишь, что программное обеспечение устанавливает соединение с сервером злоумышленника, что приводит к извлечению вредоносной полезной нагрузки, которая запускает последовательность заражения.
На первом этапе оно служит установщиком дополнительного вредоносного ПО и средством обеспечения сохраняемости на хосте. Оно также прокладывает путь для вредоносного ПО-загрузчика, которое в конечном итоге запускает Durian.
Durian, со своей стороны, используется для внедрения новых вредоносных программ, включая AppleSeed, основной бэкдор Kimsuky, пользовательский прокси-инструмент, известный как LazyLoad, а также другие законные инструменты, такие как ngrok и Chrome Remote Desktop.
"В конечном итоге злоумышленник внедрил вредоносное ПО для кражи данных, хранящихся в браузере, включая файлы cookie и учетные данные для входа", - сказал Касперский.
Примечательным аспектом атаки является использование LazyLoad, которое ранее использовалось Andariel, подразделением Lazarus Group, что повышает вероятность потенциального сотрудничества или тактического совпадения между двумя участниками угрозы.
Известно, что группа Kimsuky активна как минимум с 2012 года, ее вредоносная киберактивность также распространяется на APT43, Black Banshee, Emerald Sleet (ранее Thallium), Springtail, TA427 и Velvet Chollima.
По оценкам, она является подчиненным элементом 63-го исследовательского центра, входящего в Главное разведывательное бюро (RGB), главную военную разведывательную организацию королевства-отшельника.
"Основная миссия Kimsuky actors заключается в предоставлении украденных данных и ценной геополитической информации северокорейскому режиму путем компрометации политических аналитиков и других экспертов", - заявили в предупреждении Федеральное бюро расследований США (ФБР) и Агентство национальной безопасности (АНБ) ранее в этом месяце.
"Успешные компромиссы в дальнейшем позволяют злоумышленникам Kimsuky создавать более надежные и эффективные фишинговые электронные письма, которые затем могут быть использованы против более чувствительных и ценных целей".
Злоумышленник из национального государства также был связан с кампаниями, которые распространяют троянец удаленного доступа на основе C # и похититель информации под названием TutorialRAT, который использует Dropbox в качестве "базы для своих атак, чтобы избежать мониторинга угроз", сказал Symantec, принадлежащий Broadcom.
"Эта кампания, по-видимому, является продолжением кампании по угрозам BabyShark от APT43 и использует типичные методы фишинга, включая использование файлов быстрого доступа (LNK)", - добавлено в нем.
Разработка происходит после того, как Центр анализа безопасности AhnLab (ASEC) подробно рассказал о кампании, организованной другой северокорейской хакерской группой, спонсируемой государством, под названием ScarCruft, которая нацелена на южнокорейских пользователей с помощью файлов быстрого доступа Windows (LNK), кульминацией которой является развертывание RokRAT.
Противоборствующий коллектив, также известный как APT37, InkySquid, RedEyes, Ricochet Chollima и Ruby Sleet, как говорят, связан с Министерством государственной безопасности Северной Кореи (MSS) и занимается тайным сбором разведданных в поддержку стратегических военных, политических и экономических интересов страны.
"Обнаружено, что недавно подтвержденные файлы быстрого доступа (*.LNK) нацелены на южнокорейских пользователей, особенно тех, кто связан с Северной Кореей", - сказал ASEC.
