Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky

Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky

Хакеры вооружились ранее неизвестным модульным шпионским ПО KGH_SPY и новым загрузчиком вредоносов CSPY Downloader.

Исследователи безопасности из компании Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky (также известная как Black Banshee, Velvet Chollima и Thallium) в ходе атак на правительственные учреждения Южной Кореи.

Ранее Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) опубликовали совместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.

Группировка, предположительно, действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.

Теперь команда специалистов Nocturnus из Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.

KGH_SPY представляет собой модульный набор инструментов, который позволяет выполнять операции по кибершпионажу, включая разведку, кейлоггинг, кражу информации и доступ через бэкдор к скомпрометированным системам.

CSPY Downloader, с другой стороны, был разработан для защиты от обнаружения и обладает расширенными возможностями антианализа. Вредоносная программа помогает злоумышленникам определить, является ли целевая система «чистой» для дальнейшего взлома, и позволяет им развертывать дополнительные полезные нагрузки.

Шпионское ПО распространяется с помощью вредоносных документов, которые выполняют обширный анализ целевой системы. Вредонос может обеспечивать персистентность на системе, выполнять кейлоггинг, загружать дополнительные полезные нагрузки и выполнять произвольный код, помимо кражи информации из таких приложений, как Chrome, Edge, Firefox, Opera, Thunderbird, и Winscp.

Загрузчик CSPY Downloader не запускает дополнительную полезную нагрузку до тех пор, пока не будет проведена серия проверок с целью определить, работает ли ПО в виртуальной среде или присутствует ли на системе отладчик. Как показал анализ нового вредоносного ПО, злоумышленники изменили временные метки создания/компиляции своих инструментов так, чтобы они были датированы 2016 годом.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!