Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Северокорейские хакеры открыли новый изощренный способ атаки (http://txgate.io:443/showthread.php?t=11652)

Artifact 04-19-2025 06:23 PM

Киберпреступники сначала убеждаются в том, что атакуют правильную жертву.
https://www.securitylab.ru/upload/ib...c1pq608ht.webp
Согласно новому отчету Лаборатории Касперского, северокорейская APT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников.
Лаборатория Касперского ранее присвоила бэкдору группы название GoldDragon, а цепочки заражения привели к развертыванию вредоносных программ для Windows, предназначенных для сбора файлов, нажатий клавиш и кражи учетных данных для входа в веб-браузер.
В обнаруженной кампании Kimsuky использует фишинговые сообщения, содержащие документ Word с макросами, который предположительно содержат контент, связанный с геополитическими проблемами в регионе.
https://www.securitylab.ru/upload/im...t-img(325).png
Группа использует преимущества файлов HTML-Application (HTA) и Compiled HTML Help (CHM) в качестве приманки для компрометации системы.
Независимо от используемого метода, после первоначального доступа происходит внедрение сценария Visual Basic Script с удаленного сервера, предназначенного для снятия цифрового отпечатка машины жертвы и извлечения дополнительных полезных данных, включая исполняемый файл для извлечения конфиденциальной информации.
Кампания содержит также новый метод атаки. Если получатель щелкнет ссылку в электронном письме для загрузки дополнительных документов, то его email-адрес передается на сервер управления и контроля (C&C). Если запрос не содержит ожидаемого email-адреса, то жертве открывается для скачивания легитимный незараженный документ.
Чтобы еще больше усложнить цепочку заражений, первый C&C-сервер перенаправляет IP-адрес жертвы на другой VBS-сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки. «Проверка жертвы» на двух C&C-серверах гарантирует, что VBScript доставляется только после успешной проверки IP-адреса, что указывает на узконаправленную атаку.
По словам Лаборатории Касперского, группа Kimsuky постоянно развивает свои схемы заражения вредоносным ПО и внедряет новые методы, чтобы затруднить анализ. Основная трудность в отслеживании этой группы заключается в том, что сложно определить полную цепочку заражения.


All times are GMT. The time now is 09:38 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.