Коммуналка в Пхеньяне. Зачем северокорейские хакеры делят друг с другом серверы и пароли

Группировки, действующие в интересах КНДР, продолжают активно развивать свою инфраструктуру для ведения кибершпионажа, финансовых атак и долгосрочного присутствия в скомпрометированных системах. Об этом свидетельствуют результаты совместного исследования Hunt.io и аналитического подразделения Acronis, в ходе которого удалось выявить тесные связи между инфраструктурами групп Lazarus и Kimsuky, а также проанализировать повторяющиеся техники и инструменты.

Исследование опирается на подробный анализ артефактов, оставленных киберпреступниками. Повторное использование IP-адресов, сертификатов, каталогов с инструментами и других элементов инфраструктуры позволило выявить взаимосвязанные узлы и раскрыть схожие тактики даже у формально независимых группировок. Этот подход дал возможность проследить за кампаниями, которые ранее воспринимались как разрозненные.

Одним из центральных эпизодов стал анализ двух новых вредоносных программ, связанных с Lazarus и Kimsuky. В случае с Kimsuky речь шла о новой загрузке HttpTroy, замаскированной под VPN-счёт, в то время как Lazarus применил усовершенствованную версию своего средства удалённого доступа BLINDINGCAN. В рамках той же инфраструктуры был выявлен и модифицированный вариант вредоносного ПО Badcall для Linux, включающий системный логгер, что указывает на совершенствование механизма контроля за заражёнными устройствами.

При дальнейшем анализе исследователи нашли обширные каталоги с инструментами для кражи учётных данных, такими как MailPassView и WebBrowserPassView. Эти утилиты размещались в открытых директориях, доступных по HTTP, наряду с другими программами — от средств сбора паролей до систем удалённого управления, включая Quasar RAT. Некоторые из этих каталогов насчитывали тысячи файлов и сотни подпапок, что указывает на их использование как полноценной базы для операций.

Дополнительное внимание уделено использованию Lazarus Group технологии FRP (Fast Reverse Proxy), ранее замеченной в атаках на цепочки поставок, включая инцидент с 3CX. Одни и те же бинарные файлы FRP были размещены на нескольких VPS-серверах, работающих на порту 9999. Это указывает на автоматизированное развёртывание инфраструктуры, создающее устойчивые каналы связи между скомпрометированными машинами и управляющими серверами.

Значимую роль в анализе сыграло и отслеживание цифровых сертификатов. Один из таких сертификатов, использовавшийся Lazarus, оказался связан с двенадцатью IP-адресами, из которых десять активно применялись в распространении вредоносного ПО. Два оставшихся адреса, судя по дополнительным данным, могли быть задействованы в операциях Bluenoroff — ещё одного подразделения киберструктур КНДР. Это подтверждает, что отдельные элементы инфраструктуры могут использоваться совместно различными группами.

Наблюдаемое постоянство во внедрении одних и тех же подходов делает возможным не только ретроспективный анализ, но и проактивное выявление новых угроз. Повторяющиеся инструменты кражи данных, одинаково настроенные прокси-серверы, устойчивые схемы размещения на VPS-хостингах и повторное использование сертификатов — всё это позволяет выстраивать эффективную систему обнаружения и сдерживания таких атак.

В результате, стало очевидно, что несмотря на развитие вредоносных компонентов и сценариев заражения, именно элементы инфраструктуры остаются самым надёжным ориентиром для отслеживания операций со стороны КНДР. Их стабильность и повторяемость дают возможность выявлять активность задолго до начала полноценной атаки.