Новости DEEP#GOSU: как Северная Корея использует легитимный трафик для кибершпионажа в новой кампании

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Сложная цепочка заражения позволяет незаметно оставаться в системе и похищать данные.


kr8cjk422wlt29l7vntg38d1nd5dq1ql.jpg


ИБ-компания Securonix Для просмотра ссылки Войди или Зарегистрируйся новую кампанию, в ходе которой хакеры используют сложные методы для заражения компьютеров на Windows и похищения конфиденциальных данных. Кампания, получившая название DEEP#GOSU, предположительно связана с северокорейской группировкой Kimsuky.

Согласно отчету Securonix, многоступенчатое вредоносное ПО обладает следующими функциями:

  • незаметная работа в Windows;
  • регистрация нажатий клавиш (кейлоггинг);
  • мониторинг буфера обмена;
  • выполнение полезных нагрузок;
  • эксфильтрация данных;
  • обеспечение устойчивости с использованием как ПО для удаленного доступа, так и запланированных задач и самовыполняющихся скриптов PowerShell.

Одной из особенностей вредоносного ПО является способность маскироваться под легитимный трафик за счет использования Dropbox или Google Документы для управления и контроля (Command and Control, C2 ), что делает его незаметным для сетевого мониторинга, а также позволяет обновлять функционал программы или загружать дополнительные модули.

В основе кампании лежит распространение вредоносных электронных писем с ZIP-архивом, который содержит документ-приманку в формате PDF. Однако в действительности, открывая документ, пользователь запускает скрипт PowerShell, который дальше связывается с Dropbox для загрузки и выполнения дополнительных вредоносных скриптов.

Скрипты обладают способностью собирать данные с компьютера жертвы, включая регистрацию нажатий клавиш и мониторинг буфера обмена, что позволяет злоумышленникам перехватывать пароли и другую конфиденциальную информацию.

Кроме того, для поддержания доступа к зараженным системам и управления ими, атакующие используют разнообразные техники, включая создание запланированных задач и скриптов, которые автоматически выполняются, обеспечивая длительное присутствие в системе без обнаружения.

Интересно, что группа Kimsuky уже использовала подобные методы в прошлом, что подчеркивает необходимость повышенной бдительности со стороны организаций и частных лиц в защите своих данных.
 
Источник новости
www.securitylab.ru

Похожие темы