- 13,850
- 20
- 8 Ноя 2022
Недавний всплеск атак совпал со стартом программы по развитию промышленности КНДР.
Киберпреступные группировки, поддерживаемые правительством Северной Кореи, такие как Kimsuky (APT43) и Andariel (APT45), в последнее время значительно увеличили кибератаки на строительные и машиностроительные сектора Южной Кореи. Этот всплеск атак совпадает с политикой «Развитие местной промышленности 20×10», инициированной Ким Чен Ыном и направленной на модернизацию промышленных объектов по всей Северной Корее.
Национальный центр кибербезопасности Южной Кореи ( NCSC ) и местные спецслужбы Для просмотра ссылки Войдиили Зарегистрируйся в котором сообщили, что северокорейские хакеры особенно активно используют уязвимости обновлений VPN для проникновения в целевые сети.
В предупреждении также приведены другие важные детали, направленные на помощь организациям в предотвращении и минимизации потенциального ущерба, так как украденные данные могут быть использованы для развития промышленности и городской инфраструктуры Северной Кореи.
Так, в январе 2024 года группа Kimsuky Для просмотра ссылки Войдиили Зарегистрируйся на цепочку поставок через сайт южнокорейской строительной компании. Хакеры взломали программное обеспечение для аутентификации безопасности и захватили систему NX_PRNMAN.
Зловредное ПО под названием «TrollAgent», написанное на Go, заразило компьютеры государственных служащих, сотрудников общественных учреждений и строительных профессионалов, которые использовали скомпрометированный сайт для аутентификации. Кроме того, TrollAgent собирал информацию о системах, делал скриншоты и похищал всевозможные чувствительные данные, включая пароли из памяти браузеров, сертификаты GPKI, SSH-ключи и даже клиентские данные FileZilla.
Возвращаясь к последнему выявленному инциденту, в апреле 2024 года группа Andariel провела сложную атаку на южнокорейские строительные и машиностроительные компании, используя уязвимости в местных VPN и программном обеспечении для серверной безопасности. Атакующие воспользовались дырами в протоколах связи клиент-сервер, сосредоточенными на обновлениях, недостаточно защищённых процедурами аутентификации.
Метод Andariel включал отправку запросов, замаскированных под HTTP-пакеты, на пользовательские ПК, обходя процесс проверки, выполняемый VPN-клиентом. Они перенаправляли запросы на злонамеренный C2 -сервер, выдавая его за легитимный VPN-сервер.
Распространение вредоносного ПО DoraRAT, замаскированного под обновление программного обеспечения, позволило хакерам Andariel получить удалённый контроль над заражёнными машинами, что указывает на изменение стратегий северокорейских кибератак и необходимость укрепления южнокорейской промышленной инфраструктуры.
Подобные инциденты подчёркивают сложность и детальность северокорейских киберопераций против инфраструктурных секторов Южной Кореи. Рекомендации NCSC по защите включают:
Киберпреступные группировки, поддерживаемые правительством Северной Кореи, такие как Kimsuky (APT43) и Andariel (APT45), в последнее время значительно увеличили кибератаки на строительные и машиностроительные сектора Южной Кореи. Этот всплеск атак совпадает с политикой «Развитие местной промышленности 20×10», инициированной Ким Чен Ыном и направленной на модернизацию промышленных объектов по всей Северной Корее.
Национальный центр кибербезопасности Южной Кореи ( NCSC ) и местные спецслужбы Для просмотра ссылки Войди
В предупреждении также приведены другие важные детали, направленные на помощь организациям в предотвращении и минимизации потенциального ущерба, так как украденные данные могут быть использованы для развития промышленности и городской инфраструктуры Северной Кореи.
Так, в январе 2024 года группа Kimsuky Для просмотра ссылки Войди
Зловредное ПО под названием «TrollAgent», написанное на Go, заразило компьютеры государственных служащих, сотрудников общественных учреждений и строительных профессионалов, которые использовали скомпрометированный сайт для аутентификации. Кроме того, TrollAgent собирал информацию о системах, делал скриншоты и похищал всевозможные чувствительные данные, включая пароли из памяти браузеров, сертификаты GPKI, SSH-ключи и даже клиентские данные FileZilla.
Возвращаясь к последнему выявленному инциденту, в апреле 2024 года группа Andariel провела сложную атаку на южнокорейские строительные и машиностроительные компании, используя уязвимости в местных VPN и программном обеспечении для серверной безопасности. Атакующие воспользовались дырами в протоколах связи клиент-сервер, сосредоточенными на обновлениях, недостаточно защищённых процедурами аутентификации.
Метод Andariel включал отправку запросов, замаскированных под HTTP-пакеты, на пользовательские ПК, обходя процесс проверки, выполняемый VPN-клиентом. Они перенаправляли запросы на злонамеренный C2 -сервер, выдавая его за легитимный VPN-сервер.
Распространение вредоносного ПО DoraRAT, замаскированного под обновление программного обеспечения, позволило хакерам Andariel получить удалённый контроль над заражёнными машинами, что указывает на изменение стратегий северокорейских кибератак и необходимость укрепления южнокорейской промышленной инфраструктуры.
Подобные инциденты подчёркивают сложность и детальность северокорейских киберопераций против инфраструктурных секторов Южной Кореи. Рекомендации NCSC по защите включают:
- Постоянное обучение безопасности для всех членов уязвимых компаний.
- Специальное обучение для IT-персонала.
- Своевременное обновление используемых операционных систем, приложений и антивирусного ПО.
- Внедрение строгих правил согласования для развёртывания ПО.
- Требование аутентификации администратора на финальном этапе развёртывания.
- Следование правительственным рекомендациям по кибербезопасности и прямое обращение к производителям для срочных действий.
- Использование руководств по безопасности цепочек поставок и разработке ПО от KISA .
- Источник новости
- www.securitylab.ru
