Хакеры APT-группы Kimsuky нацелены на защитников прав предателей Родины.
Исследователи кибербезопасности SentinelOne Для просмотра ссылки Войдиили Зарегистрируйся , что северокорейская APT-группа Kimsuky проводит разведывательную кампанию с помощью пользовательского вредоносного ПО RandomQuery. Кампания направлена на информационные службы и организации, поддерживающие активистов-правозащитников и перебежчиков из Северной Кореи.
Обнаруженная операция длится с 5 мая 2023 года и использует вредоносное ПО RandomQuery, специально разработанное для перечисления файлов и эксфильтрации конфиденциальных данных.
Атаки начинаются с фишинговых писем от лица южнокорейского издания Daily NK, освещающего события в Северной Корее, чтобы побудить потенциальных жертв открыть файл Microsoft Compiled HTML Help ( CHM ). Запуск CHM-файла приводит к выполнению сценария Visual Basic, который с удаленного сервера извлекает полезную нагрузку второго этапа, VBScript-варианты RandomQuery.
Затем вредоносное ПО собирает и отравляет на C2-сервер следующие данные:
Северокорейские хакерские объединения широко известны своими частыми атаками на соседа по полуострову. Так, в апреле мы писали о нападении киберпреступников из КНДР на Для просмотра ссылки Войдиили Зарегистрируйся , а в марте об атаках на ряд Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся южнокорейских учреждений.
Исследователи кибербезопасности SentinelOne Для просмотра ссылки Войди
Обнаруженная операция длится с 5 мая 2023 года и использует вредоносное ПО RandomQuery, специально разработанное для перечисления файлов и эксфильтрации конфиденциальных данных.
Атаки начинаются с фишинговых писем от лица южнокорейского издания Daily NK, освещающего события в Северной Корее, чтобы побудить потенциальных жертв открыть файл Microsoft Compiled HTML Help ( CHM ). Запуск CHM-файла приводит к выполнению сценария Visual Basic, который с удаленного сервера извлекает полезную нагрузку второго этапа, VBScript-варианты RandomQuery.
Затем вредоносное ПО собирает и отравляет на C2-сервер следующие данные:
- системные метаданные;
- информацию о запущенных процессах и установленных приложениях;
- файлы из разных папок.
Северокорейские хакерские объединения широко известны своими частыми атаками на соседа по полуострову. Так, в апреле мы писали о нападении киберпреступников из КНДР на Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru