Было замечено, что субъекты национальных государств, связанные с Северной Кореей, используют фишинговые атаки для предоставления различных бэкдоров и инструментов, таких как AppleSeed, Meterpreter и TinyNuke, для захвата контроля над скомпрометированными машинами.
Южнокорейская компания по кибербезопасности AhnLab приписала эту деятельность продвинутой группе постоянных угроз, известной как Kimsuky.
"Примечательным моментом в атаках с использованием AppleSeed является то, что аналогичные методы атаки использовались в течение многих лет без существенных изменений в вредоносном ПО, которое используется вместе", - сказал Центр экстренного реагирования AhnLab Security (ASEC) в анализе, опубликованном в четверг.
Kimsuky, действующая более десяти лет, известна тем, что нацелена на широкий круг организаций в Южной Корее, прежде чем в 2017 году расширить свое внимание на другие регионы. В конце прошлого месяца правительство США санкционировало сбор разведданных для поддержки стратегических целей Северной Кореи.
Шпионские кампании злоумышленника реализуются посредством фишинговых атак, содержащих вредоносные документы-приманки, которые после открытия завершаются внедрением различных семейств вредоносных программ.
Одним из таких известных бэкдоров на базе Windows, используемых Kimsuky, является AppleSeed (он же JamBog), вредоносная программа DLL, которая была запущена в эксплуатацию еще в мае 2019 года и была обновлена до версии для Android, а также нового варианта, написанного на Golang под названием AlphaSeed.
AppleSeed предназначен для получения инструкций от сервера, контролируемого участником, сброса дополнительных полезных нагрузок и удаления конфиденциальных данных, таких как файлы, нажатия клавиш и скриншоты. AlphaSeed, как и AppleSeed, включает в себя аналогичные функции, но также имеет некоторые важные отличия.
"AlphaSeed был разработан в Golang и использует chromedp для связи с сервером [командования и контроля]", - сказали в ASEC, в отличие от AppleSeed, который полагается на протоколы HTTP или SMTP. Chromedp - популярная библиотека Golang для взаимодействия с браузером Google Chrome в безголовом режиме через протокол DevTools.
Есть основания полагать, что Kimsuky использует AlphaSeed в атаках с октября 2022 года, при этом некоторые вторжения доставляли AppleSeed и AlphaSeed в одну и ту же целевую систему с помощью JavaScript-дроппера.
Также злоумышленником используются вредоносные программы Meterpreter и VNC, такие как TightVNC и TinyNuke (он же Ядерный бот), которые могут быть использованы для получения контроля над уязвимой системой.
Nisos заявила, что обнаружила ряд онлайн-персоналий в LinkedIn и GitHub, которые, вероятно, использовались работниками информационных технологий (ИТ) Северной Кореи для обманным путем получения удаленной работы от компаний в США и служили источником дохода для режима и помогали финансировать его приоритеты в области экономики и безопасности.
"Персонажи часто заявляли, что обладают опытом разработки нескольких различных типов приложений и имеют опыт работы с криптовалютами и блокчейн-транзакциями", - говорится в отчете компании по анализу угроз, опубликованном ранее в этом месяце.
"Кроме того, все персонажи искали удаленные должности в технологическом секторе и были исключительно сосредоточены на поиске новой работы. Многие учетные записи активны только в течение короткого периода времени, прежде чем их отключат ".
Северокорейские субъекты в последние годы предприняли серию многоцелевых атак, сочетающих новую тактику и слабые места в цепочке поставок, нацеленных на блокчейн и криптовалютные фирмы, чтобы облегчить кражу интеллектуальной собственности и виртуальных активов.
Массовый и агрессивный характер атак указывает на различные способы, к которым страна прибегала для обхода международных санкций и получения незаконной прибыли от схем.
"Люди склонны думать, ... как "Королевство отшельников", цитируемое без кавычек, может быть серьезным игроком с кибер-точки зрения?", - цитирует Политико Адама Мейерса из CrowdStrike. "Но реальность не может быть дальше от истины".
Южнокорейская компания по кибербезопасности AhnLab приписала эту деятельность продвинутой группе постоянных угроз, известной как Kimsuky.
"Примечательным моментом в атаках с использованием AppleSeed является то, что аналогичные методы атаки использовались в течение многих лет без существенных изменений в вредоносном ПО, которое используется вместе", - сказал Центр экстренного реагирования AhnLab Security (ASEC) в анализе, опубликованном в четверг.
Kimsuky, действующая более десяти лет, известна тем, что нацелена на широкий круг организаций в Южной Корее, прежде чем в 2017 году расширить свое внимание на другие регионы. В конце прошлого месяца правительство США санкционировало сбор разведданных для поддержки стратегических целей Северной Кореи.
Шпионские кампании злоумышленника реализуются посредством фишинговых атак, содержащих вредоносные документы-приманки, которые после открытия завершаются внедрением различных семейств вредоносных программ.
Одним из таких известных бэкдоров на базе Windows, используемых Kimsuky, является AppleSeed (он же JamBog), вредоносная программа DLL, которая была запущена в эксплуатацию еще в мае 2019 года и была обновлена до версии для Android, а также нового варианта, написанного на Golang под названием AlphaSeed.
AppleSeed предназначен для получения инструкций от сервера, контролируемого участником, сброса дополнительных полезных нагрузок и удаления конфиденциальных данных, таких как файлы, нажатия клавиш и скриншоты. AlphaSeed, как и AppleSeed, включает в себя аналогичные функции, но также имеет некоторые важные отличия.
"AlphaSeed был разработан в Golang и использует chromedp для связи с сервером [командования и контроля]", - сказали в ASEC, в отличие от AppleSeed, который полагается на протоколы HTTP или SMTP. Chromedp - популярная библиотека Golang для взаимодействия с браузером Google Chrome в безголовом режиме через протокол DevTools.
Есть основания полагать, что Kimsuky использует AlphaSeed в атаках с октября 2022 года, при этом некоторые вторжения доставляли AppleSeed и AlphaSeed в одну и ту же целевую систему с помощью JavaScript-дроппера.
Также злоумышленником используются вредоносные программы Meterpreter и VNC, такие как TightVNC и TinyNuke (он же Ядерный бот), которые могут быть использованы для получения контроля над уязвимой системой.
Nisos заявила, что обнаружила ряд онлайн-персоналий в LinkedIn и GitHub, которые, вероятно, использовались работниками информационных технологий (ИТ) Северной Кореи для обманным путем получения удаленной работы от компаний в США и служили источником дохода для режима и помогали финансировать его приоритеты в области экономики и безопасности.
"Персонажи часто заявляли, что обладают опытом разработки нескольких различных типов приложений и имеют опыт работы с криптовалютами и блокчейн-транзакциями", - говорится в отчете компании по анализу угроз, опубликованном ранее в этом месяце.
"Кроме того, все персонажи искали удаленные должности в технологическом секторе и были исключительно сосредоточены на поиске новой работы. Многие учетные записи активны только в течение короткого периода времени, прежде чем их отключат ".
Северокорейские субъекты в последние годы предприняли серию многоцелевых атак, сочетающих новую тактику и слабые места в цепочке поставок, нацеленных на блокчейн и криптовалютные фирмы, чтобы облегчить кражу интеллектуальной собственности и виртуальных активов.
Массовый и агрессивный характер атак указывает на различные способы, к которым страна прибегала для обхода международных санкций и получения незаконной прибыли от схем.
"Люди склонны думать, ... как "Королевство отшельников", цитируемое без кавычек, может быть серьезным игроком с кибер-точки зрения?", - цитирует Политико Адама Мейерса из CrowdStrike. "Но реальность не может быть дальше от истины".
