Северокорейская «акула-разведчик» маскируется под офисные документы и атакует исподтишка.
Недавно было обнаружено, что северокорейская группировка Kimsuky использует новую версию своего шпионского вредоносного ПО под названием «ReconShark» в новой кампании кибершпионажа с глобальным охватом.
По данным компании Sentinel Labs, злоумышленники расширили свою сферу действия и теперь атакуют правительственные организации, научные центры, университеты и аналитические центры в США, Европе и Азии.
Kimsuky — это группа киберзлоумышленников из Северной Кореи, которая с 2012 года занимается кибершпионажем в интересах своего государства. Она специализируется на сборе информации о внешней политике и национальной безопасности, связанных с Корейским полуостровом, ядерной политикой и санкциями. Целями группировки являются эксперты по различным областям, аналитические центры и правительственные организации в Южной Корее, США, России, Европе и ООН.
В марте 2023 года власти Южной Кореи и Германии предупредили, что Kimsuky распространяет вредоносные расширения для браузера Chrome, которые нацелены на учётные записи Gmail. Методы преступников на этом не ограничиваются и включают также шпионское ПО для Android, действующее как троян удалённого доступа (RAT).
Ещё в августе 2022 года, Лаборатория Касперского раскрыла другую кампанию Kimsuky, нацеленную на политиков, дипломатов, профессоров университетов и журналистов в Южной Корее. Тогда цифровые злодеи использовали многоступенчатую схему проверки целей, чтобы заражать только тех пользователей, которые представляют для них интерес.
Kimsuky применяет хорошо продуманные и персонализированные фишинговые письма для заражения своих целей вредоносным ПО ReconShark. Этот приём также был замечен во всех предыдущих зловредных операциях группировки.
В фишинговых письмах, как правило, содержится ссылка на вредоносный документ с паролем, размещённый на Microsoft OneDrive. Размещение файла на стороннем облачном хранилище позволяет минимизировать риск обнаружения почтовыми системами безопасности. Когда цель открывает загруженный документ и включает макросы по инструкции, активируется встроенное вредоносное ПО ReconShark.
ReconShark — это следующий этап развития вредоносного ПО «BabyShark», которое также было замечено в прошлых кампаниях APT43, другой северокорейской группировки, нацеленной на организации в США.
ReconShark использует WMI для сбора информации о заражённой системе, а также проверяет, установлены ли на машине программы безопасности. Особое внимание вредонос уделяет продуктам Лаборатории Касперского, Malwarebytes, Trend Micro и Norton Security. Передача собранной информации на C2-сервер происходит напрямую через HTTP POST запросы без локального сохранения данных.
«Способность ReconShark передавать ценную информацию, такую как используемые механизмы обнаружения и характеристики оборудования, свидетельствует о том, что ReconShark является частью операции разведки Kimsuky, которая позволяет проводить последующие точечные атаки, возможно с использованием вредоносного ПО, специально адаптированного для обхода защиты и эксплуатации уязвимостей платформы», — предупредили в SentinelOne.
Ещё одна возможность ReconShark — это загрузка дополнительных полезных нагрузок с C2-сервера злоумышленников, которые могут усилить присутствие Kimsuky на заражённой системе.
«Помимо передачи информации, ReconShark разворачивает дополнительные полезные нагрузки многоступенчатым способом. Все они, как правило, реализованы в виде скриптов (VBS, HTA и Windows Batch), шаблонов Microsoft Office с макросами или DLL-файлов. ReconShark сам решает, какие полезные нагрузки развернуть в зависимости от того, какие процессы механизмов обнаружения работают на заражённых машинах», — говорится в отчёте Sentinel Labs.
Этап развёртывания полезных нагрузок также включает в себя редактирование файлов ярлыков Windows, связанных с популярными программами, такими как Chrome, Outlook, Firefox или Edge. Этот способ позволяет киберпреступникам запускать вредоносное ПО на компьютере жертвы при каждом запуске пользователем одной из этих программ.
Альтернативный метод установки постоянства в системе, обнаруженный специалистами, — это замена стандартного шаблона Microsoft Office «Normal.dotm» на вредоносную версию, размещённую на C2-сервере злоумышленников. Это позволяет активировать вредоносный код при каждом запуске пользователем Microsoft Word.
Оба приёма предлагают скрытный способ глубокого проникновения в целевую систему, поддержания постоянства и выполнения дополнительных полезных нагрузок или команд в рамках многоэтапной атаки.
Уровень сложности и изменчивости тактики Kimsuky стирает грань между собственными операциями банды и другими северокорейскими группами, которые проводят более масштабные вредоносные кампании. Поэтому исследователи SentinelOne рекомендуют организациям и специалистам по кибербезопасности соблюдать повышенную бдительность в отношении северокорейских групп и, в частности, Kimsuky.