Связанной с Северной Кореей хакерской группе Kimsuky приписывают новую атаку социальной инженерии, которая использует фиктивные учетные записи Facebook для атак через Messenger и в конечном итоге доставляет вредоносное ПО.
"Злоумышленник создал учетную запись Facebook с поддельными данными, выдавая себя за государственного чиновника, работающего в области прав человека в Северной Корее", - заявила южнокорейская компания по кибербезопасности Genians в отчете, опубликованном на прошлой неделе.
Отмечается, что многоэтапная кампания атак, которая выдает себя за законного человека, предназначена для нападения на активистов северокорейского правозащитного и антисеверокорейского секторов.
Этот подход отличается от типичной стратегии фишинга по электронной почте, поскольку он использует платформу социальных сетей для обращения к целям через Facebook Messenger и обманом заставляет их открывать, казалось бы, личные документы, написанные человеком.
Документы-приманки, размещенные на OneDrive, представляют собой документ Microsoft Common Console, который маскируется под эссе или контент, связанный с трехсторонним саммитом между Японией, Южной Кореей и США - "My_Essay (prof).msc" или "NZZ_Interview_Kohei Yamamoto.msc" - последний был загружен на платформу VirusTotal 5 апреля 2024 года из Японии.
Это повышает вероятность того, что кампания может быть ориентирована на конкретных людей в Японии и Южной Корее.
Использование MSC-файлов для проведения атаки является признаком того, что Kimsuky использует необычные типы документов, чтобы остаться незамеченным. В дальнейшей попытке повысить вероятность успешного заражения файл маскируется под безобидный файл Word, используя значок текстового процессора.
Если жертва запускает файл MSC и соглашается открыть его с помощью Microsoft Management Console (MMC), ей отображается экран консоли, содержащий документ Word, который при запуске активирует последовательность атак.
Это включает в себя выполнение команды для установления соединения с сервером, контролируемым злоумышленником ("brandwizer.co [.]в"), чтобы отобразить документ, размещенный на Google Диске ("Эссе о разрешении принудительного труда в Корее Claims.docx"), в то время как дополнительные инструкции выполняются в фоновом режиме для настройки сохраняемости, а также сбора данных об аккумуляторе и обработки информации.
Затем собранная информация передается на сервер командования и управления (C2), который также способен извлекать IP-адреса, строки пользовательского агента и информацию о временных метках из HTTP-запросов и доставлять соответствующие полезные данные по мере необходимости.
Genians заявили, что некоторые тактики, приемы и процедуры (TTP), принятые в кампании, совпадают с предыдущей деятельностью Kimsuky по распространению вредоносного ПО, такого как ReconShark, которая была подробно опубликована SentinelOne в мае 2023 года.
"В первом квартале этого года точечные фишинговые атаки были наиболее распространенным методом APT-атак, зарегистрированных в Южной Корее", - отметили в компании. "Хотя об этом обычно не сообщается, скрытые атаки через социальные сети также происходят".
"Из-за их индивидуального, персонализированного характера их нелегко обнаружить с помощью мониторинга безопасности, и о них редко сообщают извне, даже если жертва знает о них. Поэтому очень важно обнаруживать эти персонализированные угрозы на ранней стадии."
