ForceCopy Stealer
Связанная с Северной Кореей хакерская группа Kimsuky была уличена в использовании фишинговых атак для распространения недавно выявленного вредоносного ПО для кражи информации под названием forceCopy. Эти атаки начинаются с фишинговых писем, содержащих замаскированный файл ярлыка Windows (LNK), который выглядит как документ Microsoft Office или PDF. Ничего не подозревающие получатели, которые открывают файл, неосознанно запускают цепную реакцию, которая выполняет вредоносные команды.
Оглавление
Использование законных инструментов для доставки опасных полезных нагрузок
Как только пользователь взаимодействует с вредоносным вложением, процесс заражения начинается с запуска PowerShell или «mshta.exe», легитимной утилиты Windows, используемой для запуска файлов HTML Application (HTA). Эта техника позволяет злоумышленникам извлекать и развертывать дополнительные вредоносные нагрузки из внешнего источника, не вызывая подозрений.
Развертывание троянов и инструментов удаленного рабочего стола
В конечном итоге атаки приводят к развертыванию известных угроз, включая троян PEBBLEDASH и модифицированную версию RDP Wrapper, инструмента с открытым исходным кодом, используемого для доступа к удаленному рабочему столу. Наряду с этим внедряется вредоносное прокси-ПО, обеспечивающее непрерывное соединение между скомпрометированным устройством и внешней сетью злоумышленников через протокол удаленного рабочего стола (RDP).
Кейлоггер и forceCopy: нацеливание на сохраненные учетные данные
Kimsuky также был замечен в использовании кейлоггера на основе PowerShell для захвата нажатий клавиш, что еще больше расширяет его возможности по краже конфиденциальной информации. Кроме того, недавно обнаруженное вредоносное ПО forceCopy специально разработано для извлечения файлов, хранящихся в каталогах веб-браузера. Это предполагает попытку обойти ограничения безопасности и напрямую получить доступ к файлам конфигурации браузера, где часто хранятся учетные данные для входа.
Стратегический сдвиг: использование RDP для управления хостом
Зависимость группы от RDP Wrapper и вредоносного прокси-ПО подчеркивает тактический сдвиг в их операциях. Ранее Kimsuky в основном использовала специально разработанные бэкдоры для управления зараженными системами. Теперь, используя широко доступные инструменты, они стремятся поддерживать устойчивость, одновременно снижая вероятность обнаружения.
APT43: давняя угроза кибершпионажа
Kimsuky, также известный под псевдонимами APT43, Black Banshee и Emerald Sleet, как полагают, работает под началом Главного разведывательного бюро Северной Кореи (RGB), ведущей внешней разведывательной службы страны. Действуя по крайней мере с 2012 года, группа имеет долгую историю проведения сложных атак социальной инженерии для обхода защиты электронной почты.
Расширение операций с российскими фишинговыми кампаниями
Последние результаты показывают, что Кимсуки использовал фишинговые письма, отправленные с российских почтовых сервисов, для проведения кампаний по краже учетных данных. Эта адаптация, наблюдаемая в декабре 2024 года, отражает развивающуюся тактику группы, поскольку она продолжает совершенствовать свои методы социальной инженерии, чтобы нацеливаться на высокодоходных лиц и организации.
