Было замечено, что связанный с Северной Кореей субъект угрозы, известный как Kimsuky (он же Black Banshee, Emerald Sleet или Springtail), меняет свою тактику, используя скомпилированные файлы справки HTML (CHM) в качестве векторов для доставки вредоносного ПО для сбора конфиденциальных данных.
Известно, что Kimsuky, активный как минимум с 2012 года, нацелен на организации, расположенные в Южной Корее, а также в Северной Америке, Азии и Европе.
Согласно Rapid7, в цепочках атак использовались поддельные документы Microsoft Office, файлы ISO и файлы ярлыков Windows (LNK), при этом группа также использовала файлы CHM для развертывания вредоносного ПО на скомпрометированных хостах.
Компания по кибербезопасности с умеренной уверенностью приписывает эту деятельность Kimsuky, ссылаясь на аналогичную практику, наблюдавшуюся в прошлом.
"Изначально предназначенные для справочной документации, файлы CHM также использовались для вредоносных целей, таких как распространение вредоносного ПО, поскольку при открытии они могут выполнять JavaScript", - сказали в компании.
Файл CHM распространяется внутри файла ISO, VHD, ZIP или RAR, при открытии которого выполняется скрипт Visual Basic (VBScript) для настройки сохраняемости и обращения к удаленному серверу для получения полезной нагрузки следующего этапа, ответственной за сбор и эксфильтрацию конфиденциальных данных.
Rapid7 описал атаки как продолжающиеся и развивающиеся, нацеленные на организации, базирующиеся в Южной Корее. Он также выявил альтернативную последовательность заражения, которая использует файл CHM в качестве отправной точки для удаления пакетных файлов, которым поручено собирать информацию, и скрипт PowerShell для подключения к серверу C2 и передачи данных.
"Порядок действий и повторное использование кода и инструментов показывают, что субъект угрозы активно использует и совершенствует / видоизменяет свои методы и тактику для сбора разведданных от жертв", - говорится в сообщении.
Это произошло после того, как компания Symantec, принадлежащая Broadcom, обнаружила, что злоумышленники Kimsuky распространяют вредоносное ПО, выдавая себя за приложение законной корейской государственной организации.
"После взлома dropper устанавливает вредоносное ПО Endoor backdoor", - сказали в Symantec. "Эта угроза позволяет злоумышленникам собирать конфиденциальную информацию у жертвы или устанавливать дополнительное вредоносное ПО".
Стоит отметить, что Endoor из Golang, наряду с Troll Stealer (он же TrollAgent), был недавно развернут в связи с кибератаками, нацеленными на пользователей, загружающих программы безопасности с веб-сайта корейской ассоциации, связанной со строительством.
Выводы также поступают на фоне инициированного Организацией Объединенных Наций расследования 58 предполагаемых кибератак, совершенных северокорейскими субъектами национального государства в период с 2017 по 2023 год, которые принесли 3 миллиарда долларов незаконных доходов, чтобы помочь стране в дальнейшем развивать свою программу создания ядерного оружия.
"Сообщается, что большой объем кибератак со стороны хакерских групп, подчиняющихся Генеральному бюро разведки, продолжается", - говорится в отчете. "Тенденции включают нацеливание на оборонные компании и цепочки поставок и, все чаще, совместное использование инфраструктуры и инструментов".
Главное разведывательное бюро (РГБ) - основная служба внешней разведки Северной Кореи, включающая в себя кластеры угроз, которые широко отслеживаются как группа Лазаря - и ее подчиненные элементы, Андариэль и Блюнорофф - и Кимсуки.
"Kimsuky проявил интерес к использованию генеративного искусственного интеллекта, включая большие языковые модели, потенциально для кодирования или написания фишинговых электронных писем", - добавляется далее в отчете. "Было замечено, что Kimsuky использует ChatGPT".
