- 13,579
- 20
- 8 Ноя 2022
Разведка Северной Кореи выходит за пределы полуострова.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Rapid7, в ходе новой кампании северокорейская группировка Kimsuky использует файлы-приманки на тему ядерной угрозы для распространения вредоносного ПО.
Кампания нацелена на сбор разведывательной информации о внешней политике, национальной безопасности, ядерном потенциале и санкциях в отношении Корейского полуострова. Целью атак являются правительственные учреждения и аналитические центры Южной Кореи, а также расширение операций на другие регионы, в том числе в США и Европе.
Специалисты сообщают, что Kimsuky обновили свой инструментарий, начав использовать в качестве приманки HTML-файлы на тему ядерного оружия. Примеры названий включают: «Модель эскалации ядерного кризиса в Северной Корее и факторы, определяющие использование ядерного оружия.html» и «Факторы и виды применения Северной Кореей ядерного оружия.html».
Такие приманки, частью которых являются файлы в формате Compiled HTML Help ( CHM ), доставляются жертвам в архивах ISO, ZIP, RAR или VHD для обхода первой линии защиты.
Формат CHM, разработанный Microsoft, содержит коллекцию HTML-страниц вместе с оглавлением, индексом и возможностью текстового поиска, что делает его удобным для документации. Однако хакеры обнаружили, что CHM может быть использован для доставки и выполнения вредоносных полезных нагрузок.
Когда жертва открывает файл, на компьютере выполняется VBScript , который устанавливает множество файлов .bat и VBS для выполнения команд и добавляет записи в реестр для обеспечения постоянства. Собранная информация, включая имена компьютеров, детали ОС, аппаратные характеристики, список запущенных процессов, папка «Загрузки», недавние файлы Word и списки каталогов, отправляется на сервер злоумышленника.
Цепочка заражения Kimsuky
Исследователи отмечают активное использование и совершенствование техник Kimsuky для сбора разведданных, подчеркивая динамичность кибершпионажа и постоянную гонку вооружений между хакерами и защитниками. Обновленный арсенал Kimsuky подчеркивает необходимость постоянного усиления киберзащиты для противостояния таким угрозам.
Согласно Для просмотра ссылки Войди
Кампания нацелена на сбор разведывательной информации о внешней политике, национальной безопасности, ядерном потенциале и санкциях в отношении Корейского полуострова. Целью атак являются правительственные учреждения и аналитические центры Южной Кореи, а также расширение операций на другие регионы, в том числе в США и Европе.
Специалисты сообщают, что Kimsuky обновили свой инструментарий, начав использовать в качестве приманки HTML-файлы на тему ядерного оружия. Примеры названий включают: «Модель эскалации ядерного кризиса в Северной Корее и факторы, определяющие использование ядерного оружия.html» и «Факторы и виды применения Северной Кореей ядерного оружия.html».
Такие приманки, частью которых являются файлы в формате Compiled HTML Help ( CHM ), доставляются жертвам в архивах ISO, ZIP, RAR или VHD для обхода первой линии защиты.
Формат CHM, разработанный Microsoft, содержит коллекцию HTML-страниц вместе с оглавлением, индексом и возможностью текстового поиска, что делает его удобным для документации. Однако хакеры обнаружили, что CHM может быть использован для доставки и выполнения вредоносных полезных нагрузок.
Когда жертва открывает файл, на компьютере выполняется VBScript , который устанавливает множество файлов .bat и VBS для выполнения команд и добавляет записи в реестр для обеспечения постоянства. Собранная информация, включая имена компьютеров, детали ОС, аппаратные характеристики, список запущенных процессов, папка «Загрузки», недавние файлы Word и списки каталогов, отправляется на сервер злоумышленника.
Цепочка заражения Kimsuky
Исследователи отмечают активное использование и совершенствование техник Kimsuky для сбора разведданных, подчеркивая динамичность кибершпионажа и постоянную гонку вооружений между хакерами и защитниками. Обновленный арсенал Kimsuky подчеркивает необходимость постоянного усиления киберзащиты для противостояния таким угрозам.
- Источник новости
- www.securitylab.ru
