«Откройте штраф от госорганов» — PDF-приманка запускает цепочку из 5 этапов взлома

Kimsuky APT43 Windows Defender PowerShell Aryaka Южная Корея кибершпионаж
«Откройте штраф от госорганов» — PDF-приманка запускает цепочку из 5 этапов взлома
Kimsuky APT43 Windows Defender PowerShell Aryaka Южная Корея кибершпионаж

Kimsuky атакует через память — без единого файла на диске.

image

Группа Kimsuky вновь оказалась в центре внимания после атаки, в ходе которой её участники воспользовались сочетанием социальных уловок и сложных техник обхода защитных механизмов Windows. Целью стали государственные учреждения, подрядчики в сфере обороны и исследовательские организации Южной Кореи — их сотрудники получали электронные письма с архивами ZIP, содержащими вредоносные ярлыки LNK, тщательно замаскированные под обычные документы.

Запуск LNK-файла приводил к запуску mshta.exe, который подгружал удалённый HTML-приложение с CDN. Внутри этого файла скрывался запутанный скрипт на VBScript — строковые переменные собирались с помощью хитрых преобразований CLng и Chr, что делало анализ кода почти невозможным для простых систем защиты. Одновременно запускался процесс, направленный на отвлечение внимания — пользователю подсовывалась PDF-приманка, оформленная под официальное уведомление от государственных органов о правонарушениях или штрафах.

Параллельно вредоносный скрипт проверял, включена ли Windows Defender, вызывая команду через cmd для уточнения статуса службы WinDefend. Если защитник работал, из сети подгружался архив с закодированными в Base64 PowerShell-скриптами, специализирующимися на сборе данных и перехвате нажатий клавиш. Для того чтобы такие скрипты не запускались повторно, в системе создавался временный файл с UUID-процессом. Скрипты также анализировали, не используется ли машина в виртуализированной среде VMware, Microsoft или VirtualBox, и обеспечивали автоматический запуск при следующем входе в систему, прописывая ключ в реестр под видом WindowsSecurityCheck.

Если же Windows Defender оказывался отключён, вредоносная цепочка переходила к другой стадии: загружался альтернативный HTA-файл с внедрёнными, закодированными в Base64 нагрузками. Вся загрузка происходила напрямую в память — без записи на диск, что исключало обнаружение файлами-ловушками. Для расшифровки полезной нагрузки применялся алгоритм RC4, а запуск происходил через функции VirtualAllocEx, WriteProcessMemory и CreateRemoteThread, которые позволяли внедрять вредоносный код в процессы системы и обходить стандартные проверки.

Особое внимание разработчики уделили краже учётных данных: внедрённый модуль специально искал в браузерах Chrome, Edge и Brave зашифрованный ключ app_bound_encrypted_key, необходимый для дальнейшей расшифровки паролей и cookie-файлов. Помимо этого, зловред сжимал каталоги сертификатов NPKI и GPKI, извлекал недавние документы, собирал информацию о расширениях браузеров и систематически искал файлы с чувствительными расширениями, в том числе те, что связаны с криптовалютой.

Все похищенные данные складывались в папку с уникальным именем в %TEMP%, архивировались в файл init.zip, который затем переименовывался в init.dat, после чего отправлялись на серверы управления через POST-запросы с разбивкой по мегабайту для маскировки под обычный интернет-трафик. Функция кейлоггера реализована с использованием стандартных Windows API для перехвата нажатий, отслеживания буфера обмена и активного окна — всё это аккуратно записывалось в k.log и периодически уходило на сервер.

В течение всей атаки вредонос поддерживал постоянную связь с управляющим сервером: каждые 10 минут выполнялись команды на отправку, загрузку и выполнение удалённых PowerShell-инструкций, что позволяло мгновенно подгружать новые модули и адаптировать поведение вредоноса в реальном времени.

Устойчивое совпадение методов с предыдущими кампаниями Kimsuky — характерные приманки на корейскую тематику и активная эксплуатация PowerShell — ещё раз подтверждает авторство именно этой группировки, о чём неоднократно говорилось в публичных отчётах за 2025 год. Сценарий атаки построен на комбинации социальной инженерии и грамотного использования легитимных инструментов системы, что значительно усложняет выявление угрозы.

Для защиты от подобных атак специалисты рекомендуют внедрять поведенческий мониторинг, расширенный аудит PowerShell и централизованные платформы безопасности для своевременного обнаружения аномалий в работе корпоративных систем.