Группа хакеров из Северной Кореи атакует аналитические центры на Юге через сообщения в блогах, содержащих вредоносное ПО.
В рамках новой кампании, отслеживаемой с июня 2021 года, спонсируемая государством группировка Продвинутых постоянных угроз (APT) пытается внедрить слежку и вредоносное ПО, основанное на кражах, на компьютерах жертв.
В среду исследователи из Cisco Talos заявили, что Kimsuky APT, также известный как Thallium или Black Banshee, несет ответственность за волну атак, в ходе которых вредоносный контент Blogspot используется для заманивания “базирующихся в Южной Корее аналитических центров, исследования которых сосредоточены на политических, дипломатических и военных вопросах, касающихся таких стран как Северная Корея, Китай, Россия и США “.
В частности, геополитические и аэрокосмические организации, похоже, находятся в поле зрения APT.
Kimsuky работает по крайней мере с 2012 года. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустило рекомендации (.PDF) об APT в 2020 году, отметив, что правительство Северной Кореи поставило перед группировкой, спонсируемой государством, задачу «глобального сбора разведданных». Предыдущие жертвы были обнаружены в Южной Корее, Японии и США.
АнЛаб говорит что формы требований о компенсации, анкеты и исследовательские документы, прикрепленные к электронным письмам, использовались в прошлом как фишинговые приманки, а в кампании, обнаруженной Talos, вредоносные документы Microsoft Office по-прежнему являются основным вектором атаки.
Обычно вредоносные макросы VBA включаются в документы и при запуске загружают полезные данные из Blogspot.
По словам команды, сообщения в блогах доставляют три типа вредоносного контента на основе Семейства вредоносных программ Золотой Дракон/Brave Prince: начальные маяки, кражи файлов и сценарии развертывания имплантатов – последний из которых предназначен для заражения конечных точек и запуска дополнительных вредоносных компонентов, включая кейлоггер, кражу информации и модуль инжектора файлов для кражи учетных данных для входа на веб-сайт .
В то время как некоторые APT будут пытаться украсть любой контент с зараженной машины, Кимсуки использует другой подход. Вместо этого злоумышленники будут сканировать файлы, представляющие для них особый интерес.
Сюда входит контент, связанный с Северной Кореей, денуклеаризацией, отношениями между США, Китаем и Россией, а также с конструкциями ракет, исследованиями авиационного топлива, жидкостной механикой и материаловедением.
«Злоумышленники точно знали, какие файлы они ищут», – прокомментировал Талос. «Это указывает на то, что злоумышленники имеют глубокое понимание конечных точек своих целей, вероятно, полученное в результате предыдущих попыток внедрения».
Исследователи проинформировали Google о своих выводах, и с тех пор вредоносное содержание блога было удалено. Однако вряд ли это остановит деятельность Кимсуки.
«Кимсуки – очень мотивированный злоумышленник, нацеленный на ряд организаций в Южной Корее», – говорят исследователи. «Эта группа неустанно создает новые цепочки заражения для доставки различных типов вредоносных программ своим жертвам. Такие целевые атаки могут привести к утечке данных и исследований для служебного пользования, несанкционированному доступу для шпионажа и даже разрушительным атакам на определенные организации».
Интересно, когда-нибудь у них закончится этот кошмар?