DEEP#GOSU: как Северная Корея использует легитимный трафик для кибершпионажа в новой кампании

Securonix DEEP#GOSU Kimsuky C2 кейлоггинг
DEEP#GOSU: как Северная Корея использует легитимный трафик для кибершпионажа в новой кампании
Securonix DEEP#GOSU Kimsuky C2 кейлоггинг

Сложная цепочка заражения позволяет незаметно оставаться в системе и похищать данные.

image

ИБ-компания Securonix обнаружила новую кампанию, в ходе которой хакеры используют сложные методы для заражения компьютеров на Windows и похищения конфиденциальных данных. Кампания, получившая название DEEP#GOSU, предположительно связана с северокорейской группировкой Kimsuky.

Согласно отчету Securonix, многоступенчатое вредоносное ПО обладает следующими функциями:

  • незаметная работа в Windows;
  • регистрация нажатий клавиш (кейлоггинг);
  • мониторинг буфера обмена;
  • выполнение полезных нагрузок;
  • эксфильтрация данных;
  • обеспечение устойчивости с использованием как ПО для удаленного доступа, так и запланированных задач и самовыполняющихся скриптов PowerShell.

Одной из особенностей вредоносного ПО является способность маскироваться под легитимный трафик за счет использования Dropbox или Google Документы для управления и контроля (Command and Control, C2), что делает его незаметным для сетевого мониторинга, а также позволяет обновлять функционал программы или загружать дополнительные модули.

В основе кампании лежит распространение вредоносных электронных писем с ZIP-архивом, который содержит документ-приманку в формате PDF. Однако в действительности, открывая документ, пользователь запускает скрипт PowerShell, который дальше связывается с Dropbox для загрузки и выполнения дополнительных вредоносных скриптов.

Скрипты обладают способностью собирать данные с компьютера жертвы, включая регистрацию нажатий клавиш и мониторинг буфера обмена, что позволяет злоумышленникам перехватывать пароли и другую конфиденциальную информацию.

Кроме того, для поддержания доступа к зараженным системам и управления ими, атакующие используют разнообразные техники, включая создание запланированных задач и скриптов, которые автоматически выполняются, обеспечивая длительное присутствие в системе без обнаружения.

Интересно, что группа Kimsuky уже использовала подобные методы в прошлом, что подчеркивает необходимость повышенной бдительности со стороны организаций и частных лиц в защите своих данных.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании

Новый вирус Latrodectus: IcedID с расширенными возможностями вступает в игру

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

Mispadu расширяет зону деятельности: виртуальный захватчик уже у европейских ворот

DarkBeatC2: иранская MuddyWater расширяет свой хакерский арсенал

Майнинг под прикрытием защиты: как антивирус eScan используется для заражения компаний

FROZEN#SHADOW: хладнокровные хакеры скрытно атакуют компании по всему миру

Шпионаж КНДР: арсенал Ким Чен Ына пополнился оборонными технологиями Южной Кореи

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе