- 13,885
- 20
- 8 Ноя 2022
Зачем азиатские хакеры маскируется под другие группы и какие методы для этого используют?
Эксперты по кибербезопасности компании Qi An Xin Для просмотра ссылки Войдиили Зарегистрируйся вредоносные LNK -файлы, нацеленные на пользователей в Южной Корее. Файлы при запуске распаковывали документы-приманки и VB-скрипты. Одним из таких документов было якобы руководство о том, как проводить проверку безопасности электронной почты.
Первоначально эксперты предположили, что атака исходит от северокорейской группировки APT37, которая ранее неоднократно использовала похожий метод распространения вредоносного ПО. Однако детальный анализ скриптов и адресов управляющих серверов выявил связь злоумышленников с не менее северокорейской группировкой Konni.
Используя в своих атаках LNK-файлы, которые по сути являются обычными ярлыками Windows и в последнее время применяются самыми разными акторами угроз, группа Konni очевидно пытается замаскировать свою активность под действия других хакерских объединений
В рассмотренной исследователями вредоносной кампании скрипты Konni, активируемые через LNK-файлы, выполняли следующие действия:
Это указывает на возможную связь Konni с другими восточноазиатскими группировками, такими как APT37 и Kimsuky, которые используют похожие методы сокрытия вредоносного кода внутри LNK-файлов, а также распространяют файлы-приманки для повышения эффективности атак.
Таким образом, анализируемая атака демонстрирует как изменение тактики самой группы Konni, так и тенденцию к сближению методов и обмену наработками между различными APT -группировками азиатского региона.
Чтобы обезопасить себя от подобных атак, эксперты рекомендуют пользователям следовать нескольким базовым правилам:
Хотя основные рекомендации экспертов относительно просты, реальность такова, что всё больше угроз способны обойти защиту рядовых пользователей. Поэтому компаниям нужно активно инвестировать как в технические решения типа антивирусов нового поколения, так и в повышение осведомлённости персонала о различных видах кибератак.
Несистемная защита уже не является достаточной, поэтому необходим по-настоящему комплексный подход.
Эксперты по кибербезопасности компании Qi An Xin Для просмотра ссылки Войди
Первоначально эксперты предположили, что атака исходит от северокорейской группировки APT37, которая ранее неоднократно использовала похожий метод распространения вредоносного ПО. Однако детальный анализ скриптов и адресов управляющих серверов выявил связь злоумышленников с не менее северокорейской группировкой Konni.
Используя в своих атаках LNK-файлы, которые по сути являются обычными ярлыками Windows и в последнее время применяются самыми разными акторами угроз, группа Konni очевидно пытается замаскировать свою активность под действия других хакерских объединений
В рассмотренной исследователями вредоносной кампании скрипты Konni, активируемые через LNK-файлы, выполняли следующие действия:
- Устанавливали задачи в планировщике Windows для периодического запуска вредоносного кода. Это позволяло обойти удаление основных файлов и сохранить постоянный контроль над заражённой системой.
- Собирали различную информацию о системе, включая список процессов, сведения о конфигурации, содержимое папок пользователя.
- Отправляли собранные данные на командный сервер злоумышленников.
Это указывает на возможную связь Konni с другими восточноазиатскими группировками, такими как APT37 и Kimsuky, которые используют похожие методы сокрытия вредоносного кода внутри LNK-файлов, а также распространяют файлы-приманки для повышения эффективности атак.
Таким образом, анализируемая атака демонстрирует как изменение тактики самой группы Konni, так и тенденцию к сближению методов и обмену наработками между различными APT -группировками азиатского региона.
Чтобы обезопасить себя от подобных атак, эксперты рекомендуют пользователям следовать нескольким базовым правилам:
- Проявлять осторожность при работе с файлами из подозрительных или непроверенных источников. Особенно это касается сообщений из социальных сетей и почтовых вложений.
- Регулярно делать резервные копии важных данных для возможности быстрого восстановления в случае заражения.
- Своевременно устанавливать все обновления безопасности от разработчиков ПО, так как они часто закрывают уязвимости, эксплуатируемые злоумышленниками.
Хотя основные рекомендации экспертов относительно просты, реальность такова, что всё больше угроз способны обойти защиту рядовых пользователей. Поэтому компаниям нужно активно инвестировать как в технические решения типа антивирусов нового поколения, так и в повышение осведомлённости персонала о различных видах кибератак.
Несистемная защита уже не является достаточной, поэтому необходим по-настоящему комплексный подход.
- Источник новости
- www.securitylab.ru
