9 ГБ данных и исходный код. Хакеры из DDoSecrets нанесли «пощечину» Северной Корее

Kimsuky шпионаж DEF CON APT-группы DDoSecrets
9 ГБ данных и исходный код. Хакеры из DDoSecrets нанесли «пощечину» Северной Корее
Kimsuky шпионаж DEF CON APT-группы DDoSecrets

Редкий взгляд на кибершпионаж изнутри.

image

Северокорейская кибергруппа Kimsuky сама оказалась в положении жертвы: двое хакеров, представившиеся «противоположностью ценностям Kimsuky», взломали инфраструктуру группировки и выложили украденные материалы в открытый доступ. Псевдонимы нападавших — Saber и cyb0rg. По их словам, мотивом стала этика: они считают, что Kimsuky «ломает не ради искусства, а ради политических задач и обогащения руководства», действуя по указке режима, а не как самостоятельные исследователи. Обращение к Kimsuky опубликовано в свежем, 72-м выпуске журнала Phrack, который раздавали на DEF CON 33; онлайн-версия обещана к публикации в ближайшие дни.

Главный результат их акции — публикация части «бэкенда» Kimsuky на платформе Distributed Denial of Secrets (DDoSecrets). Архив весом 8,9 ГБ раскрывает и инструменты, и украденные данные, позволяя связать отдельные эпизоды в цельную картину и фактически «сжечь» часть инфраструктуры и методик APT-группы. Внутри, среди прочего, обнаружены журналы фишинга с участием множества почтовых ящиков домена dcc.mil.kr, принадлежащего Командованию контрразведки обороны Южной Кореи (Defense Counterintelligence Command). В качестве целевых или сопутствующих фигурируют и другие домены: spo.go.kr, korea.kr, daum.net, kakao.com, naver.com.

Особо выделяется .7z-архив с полным исходным кодом почтовой платформы Министерства иностранных дел Республики Корея под названием Kebi — вместе с модулями веб-почты, админки и архивирования. В наборе встречаются упоминания гражданских сертификатов и отобранные списки университетских преподавателей. Присутствует и PHP-набор под названием «Generator» для сборки фишинговых сайтов : набор ориентирован на обход детектирования и продвинутые сценарии редиректов, а рядом лежат «живые» фишинговые киты, готовые к развёртыванию.

Есть и набор бинарей с неясным назначением: архивы voS9AyMZ.tar.gz и Black.x64.tar.gz, а также исполняемые файлы payload.bin, payload_test.bin и s.x64.bin. По данным авторов публикации, на момент выгрузки эти образцы не отмечались в VirusTotal. Параллельно встречаются загрузчики Cobalt Strike, реверс-шеллы и модули прокси Onnara, найденные в кэше перетаскивания VMware, что намекает на рабочую среду и технику перемещения файлов внутри операционного окружения злоумышленников.

Трассы в артефактах браузера тоже показательные: история Chrome и конфигурации указывают на взаимодействие с подозрительными аккаунтами на GitHub (например, wwh1004.github.io), покупки VPN-сервисов PureVPN и ZoogVPN через Google Pay, а также регулярные визиты на профильные хакерские форумы — freebuf.com и xaker.ru. Отдельные записи подтверждают использование Google Translate для разбора китайских сообщений об ошибках и переходы на сайты правительственных и военных структур Тайваня. В истории bash видны SSH-подключения к внутренним системам, что дополняет картину повседневной работы операторов.

Часть перечисленного уже попадала в отчёты исследователей, однако новая утечка важна тем, что стягивает нити: инструменты, цели, артефакты окружения и готовые фишинговые комплекты оказываются в одном корпусе данных, что облегчает атрибуцию и разбор неизвестных кампаний. Редакция BleepingComputer обратилась к независимым исследователям за подтверждением подлинности материалов и их ценности для сообщества; обновления по мере ответов обещаны позднее.

Долгосрочные перспективы для Kimsuky вряд ли изменятся радикально — так оценивают происходящее собеседники издания. Но на короткой дистанции утечка, скорее всего, сломает часть текущих цепочек, вынудит перенос инфраструктуры и приведёт к срывам уже идущих операций. Напоминание о профиле самой группы здесь уместно: Kimsuky — северокорейское гос­подразделение кибершпионажа , отслеживаемое также как Storm-0978 и Tropical Scorpius. За ней числятся эпизоды эксплуатации нулевых дней, в том числе в Firefox (CVE-2024-9680, CVE-2024-49039) и в экосистеме Microsoft Office (CVE-2023-36884).

Если утечка подтвердится в полном объёме, исследователи получат редкую возможность глубже понять внутреннюю кухню Kimsuky — от процессов разработки фишинговых наборов до организационных привычек операторов, оставленных в журналах и кэше рабочих станций.