Содержание статьи



01. Дампы

0.1.1 Командование военной контрразведки (dcc.mil.kr)

0.1.2 Доступ в хранилище МИД Южной Кореи

0.1.3 Доступ к внутренней сети правительства Южной Кореи

0.1.4 Разное



0.2 Артефакты

0.2.1 Генератор против контрразведки

0.2.2 Бэкдор в ядре Tomcat

0.2.3 Личный маяк Cobalt Strike

0.2.4 ToyBox для Android

0.2.5 Ivanti Control, он же RootRot

0.2.6 Bushfire

0.2.7 SpawnChimera и газета The Hankyoreh



0.3 Кто такой Kimsuky

0.3.1 Операция Covert Stalker

0.3.2 Украденные сертификаты GPKI

0.3.3 Атака на похожие цели

0.3.4 AiTM-атака на пользователей Microsoft: гипотеза

0.3.5 KIM — китаец?

0.3.6 Забавные факты и приколы



Ха*керам Saber и cyb0rg уда*лось успешно ата*ковать учас*тни*ка северо*корей*ской шпи*онской хак*груп*пы Kimsuky. Отчет об этом они опуб*ликова*ли в новей*шем номере жур*нала Phrack. Из этой статьи ты узна*ешь, как про*ходи*ла ата*ка, какой код и дан*ные извлек*ли с рабочей стан*ции, при*над*лежащей северо*корей*ско*му хакеру.



Kimsuky — это под*держи*ваемая пра*витель*ством КНДР хакер*ская груп*па типа Advanced Persistent Threat (APT), нацелен*ная на шпи*онаж за ана*лити*чес*кими цен*тра*ми, пред*при*ятиями, опе*рато*рами атом*ных элек*трос*танций и пра*витель*ствен*ными струк*турами. Она вне*сена в спи*сок в соот*ветс*твии с ука*зом E. O. 13687 как агентство, инс*тру*мент или под*кон*троль*ная струк*тура пра*витель*ства КНДР.



Мы будем называть это*го кон*крет*ного учас*тни*ка прос*то KIM — так короче. И KIM тебе не друг!



В дам*пе наш*лось немало бэк*доров и инс*тру*мен*тов Kimsuky, а заод*но и внут*ренняя докумен*тация. Из нее вид*но, что Kimsuky без стес*нения работа*ет в паре с китай*ски*ми APT-груп*пами, обме*нива*ясь инс*тру*мен*тами и при*ема*ми.



Не*кото*рые из этих инс*тру*мен*тов тебе, воз*можно, уже встре*чались: ты видел их ска*неры, находил сер*верные арте*фак*ты и имплан*ты. А теперь в при*дачу получишь их кли*енты, докумен*тацию, пароли, исходни*ки и коман*дные фай*лы.



И, что*бы жизнь казалась сла*ще, мы под*кинули бонус — бэкап VPS, с которо*го чле*ны груп*пиров*ки запус*кали ата*ки с тар*гетиро*ван*ным фишин*гом.



Дампы



Дамп на Onion

Дамп на Proton



Да*вай крат*ко про*бежим*ся по содер*жимому дам*пов, а потом раз*берем основные наход*ки.



Итак, сре*ди инте*рес*ного:



ло*ги, фик*сиру*ющие ата*ку на Коман*дование воен*ной конт*рраз*ведки;

дос*туп к Минис*терс*тву инос*тран*ных дел Южной Кореи;

дос*туп к внут*ренней сети пра*витель*ства Южной Кореи

…и еще куча фай*лов, до которых мы пока не доб*рались.



Пер*вый дамп — с гос*тевой вир*туал*ки KIM, вто*рой — с его пуб*лично*го VPS. Оба были получе*ны при*мер*но 10 июня 2025 года.



Из занят*ного:



Скрин*шот его рабоче*го сто*ла (kim_desktop.jpg).

Linux Dev System (VM на Deepin 20.9 Linux).

Гос*тевая VM име*ла при*мон*тирован*ный диск хос*та C:\ (через HGFS). Дамп при*лага*ется.

Спи*сок всех фай*лов лежит в ./file-lists.

Око*ло 20 тысяч записей в исто*рии Brave и Chrome — с кучей email-адре*сов ([email protected], [email protected] и так далее), сай*тов, которые посещал KIM, и инс*тру*мен*тов, которые он ска*чивал.

Все рас*ширения Chrome: для под*мены User-Agent, Proxy SwitchyOmega, Cookie Editor и мно*жес*тво дру*гих.

Файл ko图文编译.doc — это инс*трук*ция по экс*плу*ата*ции одно*го из бэк*доров. Там даже есть офи*циаль*но зву*чащее пре*дуп*режде*ние (перевод): «Зап*рещено исполь*зовать бэк*дор не по наз*начению».

В mnt/hgfs/Desktop/fish_25327/vps20240103.docx — куча паролей, вклю*чая рабочие пароли к поч*те и VPS.

Мо*ре паролей — в mnt/hgfs/Desktop/fish_25327/vps20240103.docx. Там находят*ся как рабочие email, так и пароли к VPS:

root: 1qaz2wsx;

[email protected]: !QAZ4rfv!@#$;

https://sg24.vps.bz:4083/[email protected]: H4FHKMWMpX8bZ;

https://monovm.com/[email protected]: dr567h%a"G6*m.

Из fish-url.txt и generator.php ты узна*ешь сек*реты пов*торя*ющих*ся пат*тернов паролей.



Второй дамп



Имя сер*вера: vps1735811325, раз*мещен на vps.bz.

Этот сер*вер учас*тво*вал в целевых фишин*говых ата*ках.

При*меча*тель*ны SSL-сер*тифика*ты и auth.log. Под*робнее о сор*цах фишин*говых атак — ниже.



Командование военной контрразведки (dcc.mil.kr)



Где лежит: vps/var/www/html/



Ко*ман*дование воен*ной конт*рраз*ведки (DCC) — это раз*ведыва*тель*ная орга*низа*ция Воору*жен*ных сил Южной Кореи. Глав*ная мис*сия DCC — ковар*ные и тай*ные опе*рации, а так*же конт*рраз*ведка.



Ло*ги показы*вают, что все*го три дня назад была фишин*говая ата*ка на dcc.mil.kr.



В тех же логах зас*ветились The Supreme Prosecutor Office (spo.go.kr), korea.kr, daum.net, kakao.com и naver.com. Обра*ти вни*мание, что Admin-C для dcc.mil.kr зарегис*три*рован на [email protected].



Доступ в хранилище МИД Южной Кореи



Ко*пия плат*формы элек*трон*ной поч*ты Минис*терс*тва инос*тран*ных дел Южной Кореи лежала в фай*ле с наз*вани*ем mofa.go.kr.7z. Похоже, исходни*ки ста*щили сов*сем недав*но.



Су*дя по фор*мату фай*лов, это, ско*рее все*го, дамп из репози*тория на GitHub, который выс*тупа*ет частью поч*тового сер*вера. В исходном коде пол*но упо*мина*ний о пра*витель*ствен*ных доменах:



Доступ к внутренней сети правительства Южной Кореи



По*хоже, KIM сох*раня*ет дос*туп к внут*ренним сис*темам сети пра*витель*ства Южной Кореи. Есть про*ект под наз*вани*ем onnara_auto, где лежит нес*коль*ко занят*ных фай*лов. Судя по все*му, это набор инс*тру*мен*тов для работы с внут*ренни*ми пра*витель*ствен*ными сер*верами. Нап*ример, файл /onnara_auto/log/log-20250511.log содер*жит такие записи:



Со*ответс*тву*ющий код:



Хост onnara9.saas.gcloud.go.kr недос*тупен из пуб*лично*го интерне*та, но домен све*тит*ся в ряде докумен*тов как внут*ренний пра*витель*ствен*ный пор*тал. Похоже, что у Кима есть дос*туп к этой сети.



Разное



IP этой машины — 156.59.13.153 (Син*гапур). На этом айпиш*нике кру*тит*ся SSHD на пор*те 60233, а порт 4012 све*тит TLS-сер*тификат с CN=*.appletls.com.Fofa. Этот сер*тификат зас*ветил*ся на при*мер*но 1100 уни*каль*ных IP. Льви*ная доля (>90%) раз*бро*сана по Китаю и Гон*конгу. Воз*можно, это какая‑то сеть прок*си или Operational Relay Boxes (ORB).



13 июня 2025 года KIM зарегис*три*ровал сайт webcloud-notice.com. Мы дума*ем, что в рам*ках под*готов*ки будущей фишин*говой ата*ки. Мы наш*ли сер*тификат и при*ват*ный ключ для rc.kt.co.kr — это уда*лен*ный сер*вис управле*ния South Korea Telecom.



Ку*ча паролей LG Uplus (LGU) лежит в mnt/hgfs/Desktop/111/account/account.txt. LGU — южно*корей*ский мобиль*ный опе*ратор. Если коп*нуть глуб*же через favicon, то получа*ется, что KIM сна*чала взло*мал SECUREKI, ком*панию, которая обес*печива*ет LGU мно*гофак*торной аутен*тифика*цией, а потом через нее проб*рался уже в сеть LGU.



Ис*тория поис*ковых зап*росов в Google точ*но зас*лужива*ет прис*таль*ного вни*мания. Осо*бен*но все, что свя*зано с chacha20 и arc4. Да и вре*мен*ные фай*лы Chrome сто*ит покопать — кто зна*ет, что там мож*но нарыть.



По*хоже, KIM кача*ет свои Dev Tools вот с это*го ресур*са:

https://bafybeih65no5dklpqfe346wyeia...ipfs.dweb.link



Ли*цен*зию на IDA Pro он ста*щил с заб*рошен*ного и не работа*юще*го боль*ше сай*та в Tor.



В кон*фигах Google Chrome содер*жатся вот такие ссыл*ки. То есть для дос*тупа к сай*там мог*ли исполь*зовать*ся лич*ные учет*ки Google. А что нас*чет акка*унта wwh1004 на GitHub? Может, тоже их? И еще воп*росик: не исполь*зовала ли груп*пиров*ка Google Pay, что*бы опла*тить VPN?



KIM поль*зует*ся Google Translate, что*бы перево*дить сооб*щения об ошиб*ках на китай*ский. В его исто*рии Chrome есть целый ряд сай*тов пра*витель*ства и воен*ных струк*тур Тай*ваня.



Сер*тификат граж*дан Южной Кореи нуж*дает*ся в более глу*боком изу*чении, осо*бен*но инте*ресен момент с выделе*нием про*фес*соров уни*вер*ситетов. Почему их так отдель*но помети*ли?



В пап*ке work/home/user/.cache/vmware/drag_and_drop/ хра*нят*ся фай*лы, которые KIM переки*дывал меж*ду сво*ими Windows- и Linux-машина*ми. Там лежат лоаде*ры Cobalt Strike и реверс‑шел*лы на PowerShell, а так*же ском*пилиро*ван*ный код Onnara и ее модули для прок*сирова*ния в государс*твен*ную сеть и не толь*ко.



В дирек*тории work/home/user/.config/google-chrome/Default/ мож*но най*ти мно*го инте*рес*ных фай*лов (.com.google.Chrome*), которые при*откры*вают завесу над инте*реса*ми, поис*ковыми при*выч*ками и посеща*емы*ми сай*тами поль*зовате*ля KIM. Сре*ди про*чего мы узна*ём, что его час*то заботит выжива*ние Cobalt Strike (CS), он инте*ресу*ется, почему Кунь*мин находит*ся в цен*тре Цен*траль*ной инспек*цион*ной груп*пы, и нерав*нодушен к раз*ным про*ектам на GitHub. Заходит он и на freebuf.com, xakep.ru, а Google Translate исполь*зует для чте*ния accessibility-moda-gov-tw через translate.goog, перево*дя с тай*вань*ско*го.



Фай*лы voS9AyMZ.tar.gz и Black.x64.tar.gz тре*буют тща*тель*ной про*вер*ки. Их бинар*ные хеши пока неиз*вес*тны VirusTotal, но сами наз*вания уж боль*но подоз*ритель*ные:

2bcef4444191c7a5943126338f8ba36404214202 payload.bin

e6be345a13641b56da2a935eecfa7bdbe725b44e payload_test.bin

3e8b9d045dba5d4a49f409f83271487b5e7d076f s.X64.bin



В bash_history — SSH-под*клю*чения к компь*юте*рам в локаль*ной сети.



Пит Хег*сет бы ска*зал: «У него сей*час все чис*то с OPSEC».



Артефакты



В этом раз*деле раз*бира*емся с шестью бэк*дорами и арте*фак*тами от Кима. Это еще не финаль*ная вер*сия и не пол*ный спи*сок. Это толь*ко начало, что*бы заин*тересо*вать тебя и помочь луч*ше понять, как дей*ству*ет Ким*суки и какие инс*тру*мен*ты исполь*зует.



Генератор против контрразведки



Где лежит: vps/var/www/html/



Инс*тру*мент раз*ворачи*вает фишин*говый HTTPS-сайт на домене, который напоми*нает зна*комый жер*тве адрес. Потом жер*тве с dcc.mil.kr отправ*ляют ссыл*ку на этот фей*ковый сайт. Зло*умыш*ленник наде*ется, что жер*тва вве*дет свои логин и пароль на его сай*те.



Фи*наль*ная пере*адре*сация жер*твы уво*дит ее с фишин*гового сай*та на легаль*ный веб‑сайт. Там он всег*да видит ошиб*ку вхо*да.



Это целенап*равлен*ная ата*ка, и ее авто*ру приш*лось пот*рудить*ся, что*бы най*ти такой URI на легаль*ном сай*те https://dcc.mil.kr.



Плюс это*го трю*ка в том, что жер*тва уви*дит ошиб*ку от https://dcc.mil.kr (которую он зна*ет и которой доверя*ет), хотя его дан*ные на самом деле утек*ли на фишин*говый сайт.



config.php — хра*нит длин*нющую чер*ную базу айпиш*ников (и дру*гие спис*ки), что*бы такие ком*пании, как Trend Micro и Google, не смог*ли най*ти фишин*говый сайт.

generator.php — это уда*лен*ный интерфейс для управле*ния фишин*говой ата*кой. Дос*туп к нему мож*но получить через задан*ный пароль. Одна*ко хит*рость в том, что куки здесь зашиты в коде, и в админку мож*но зай*ти без пароля, прос*то под*ста*вив нуж*ное зна*чение куки.



curl -v --cookie "HnoplYTfPX=x" https://phishing-site/generator.php



Най*ти такие фишин*говые сай*ты в интерне*те эле*мен*тарно:

curl -v --cookie "HnoplYTfPX=x" https://phishing-site/logs.php



Бэкдор в ядре Tomcat



Где лежит: mnt/hgfs/Desktop/tomcat20250414_ rootkit linux234/

Это бэк*дор уров*ня ядра. Он поз*воля*ет зло*умыш*ленни*ку уда*лен*но получить дос*туп к сис*теме и остать*ся незамет*ным. В арсе*нале есть кли*ент (tcat.c), сер*верная часть LKM (vmwixs.mod.c) и поль*зователь*ский бэк*дор (master.c).



Кли*ент обща*ется с сер*вером жер*твы нап*рямую по TCP. Заг*ружен*ный модуль ядра (LKM) отлавли*вает любые TCP-соеди*нения, которые сов*пада*ют с опре*делен*ной ком*бинаци*ей TCP-SEQ и IP-ID. Для свя*зи со сво*им поль*зователь*ским бэк*дором master.c в юзер*спей*се LKM исполь*зует /proc/acpi/pcicard.



Мас*тер‑пароль: Miu2jACgXeDsxd; кли*ент исполь*зует !@nf4@#fndskgadnsewngaldfkl.



Скрипт tomcat20250414_rootkit_linux2345/config.sh на лету генери*рует новые сек*ретные ID и стро*ки для каж*дой инстал*ляции и сох*раня*ет их в install.h. Глав*ный пароль зашит в коде и неиз*менен.



work/common.c — ком*пилиру*ется как в кли*енте, так и в мас*тере. Тут пол*но ста*рых при*ват*ных клю*чей. Новый бэк*дор генерит эти клю*чи динами*чес*ки (глянь install_common.c).

Ikm — vmwfxs.mod.c — это так называ*емая «заготов*ка» LKM, которая поз*воля*ет перех*ватывать нуж*ные фун*кции ядра.

Ikm — main.c — тут про*исхо*дит сек*ретная магия: пря*чут*ся про*цес*сы, сетевые кон*некты и фай*лы.

Ikm — hkcap.c — соз*дает /proc/acpi/pcicard для обще*ния с юзер*спей*сом:



echo -n "${DECODEKEY}" > /proc/acpi/pcicard



Мо*дуль ядра перех*ватыва*ет каж*дое новое соеди*нение по TCP и про*веря*ет, исполь*зует*ся ли сек*ретный TCP-SEQ и IP-ID (при*чем на любом пор*те!). Эта про*вер*ка выпол*няет*ся в фун*кции syn_active_check.



По*ле раз*мера окна TCP как раз исполь*зует*ся, что*бы нас*тро*ить бэк*дор‑про*токол (чаще все*го это SYN_KNOCK или SYN_KNOCK_SSL).



Ес*ли усло*вие выпол*няет*ся, стар*туют два сле*дующих эта*па:



За*пус*кает*ся юзер*ленд‑про*цесс master.c и переда*ет MASTER_TRANS_STRAIGHT_ARGV в качес*тве парамет*ра -m.

Это перенап*равля*ет TCP-поток на про*цесс master.c в прос*транс*тво поль*зовате*ля, фак*тичес*ки кра*дя его у целево*го сер*виса.



Та*ким обра*зом, master.c прос*то сле*по исполня*ет коман*ды ата*кующе*го.



master — master.c — поль*зователь*ский про*цесс, скры*тый на сер*вере жер*твы. Он при*нима*ет перенап*равлен*ный из LKM сетевой поток, выпол*няет SSL-рукопо*жатие и пос*ле него — аутен*тифика*цию по паролю. Пре*дос*тавля*ет стан*дар*тный набор фун*кций: запуск root-shell или прок*сирова*ние соеди*нений во внут*реннюю сеть.

client — tcat.c — здесь лежат все фун*кции, нуж*ные, что*бы «сту*чать*ся» в LKM (бэк*дор) на машине жер*твы через TCP-SEQ + IP-ID и уста*нав*ливать SSL-соеди*нение с про*цес*сом master.c, который запус*кает*ся (через LKM) на сер*вере жер*твы.

client — kernel.c — здесь хра*нят*ся пре*доп*ределен*ные и засек*речен*ные номера TCP-SEQ и IP-ID. Любая ком*бинация из них может при*менять*ся для исполь*зования бэк*дора. Эти циф*ры не генерят*ся динами*чес*ки и оди*нако*вы для каж*дой уста*нов*ки.

client — protocol.c — содер*жит вся*кие заг*лушки и ста*тичес*кие стро*ки, что*бы под*клю*чить*ся к бэк*дору через про*токо*лы SMTP, HTTP или HTTPS (TLS).



За*сечь LKM на локаль*ной машине — про*ще прос*того.



Уда*лен*ное обна*руже*ние LKM может быть тоже нес*ложным делом, но тут нуж*на допол*нитель*ная про*вер*ка: аутен*тифика*ция по паролю про*исхо*дит пос*ле SSL-рукопо*жатия.



Та*ким обра*зом, при под*клю*чении с заранее извес*тны*ми зна*чени*ями TCP SEQ=920587710 и IP-ID=10213 к любому целево*му пор*ту (вклю*чая те, где обыч*но нет TLS, — 80, 22, 25) LKM перех*ватыва*ет соеди*нение и переда*ет его в master.c. Даль*ше master.c под*нима*ет TLS и пос*ле рукопо*жатия про*водит аутен*тифика*цию и пре*дос*тавля*ет шелл или прок*си.



Как про*верить наличие бэк*дора:



Ус*танав*лива*ем TCP-соеди*нение.

От*прав*ляем TLS-CLIENT-HELLO.

Ес*ли сер*вер ском*про*мети*рован, он отве*тит кор*рек*тным TLS-SERVER-HELLO, а любой дру*гой сер*вер это*го не сде*лает.



Личный маяк Cobalt Strike



Где лежит: mnt/hgfs/Desktop/111/beacon



Это кас*томный Cobalt Strike C2 Beacon. Исходный код раз*рабаты*вал*ся в сре*де IntelliJ IDEA IDE. В beacon/.idea/workspace.xml хра*нят*ся ссыл*ки на откры*тые фай*лы, их позиции и исто*рию пос*ледних поис*ковых зап*росов про*екта. Пос*ледние изме*нения в код вно*сились в июне 2024 года.



В фай*ле config.cpp — два бинар*ных бло*ба с кон*фигами для Cobalt Strike. Эти бло*бы валид*ны, и их мож*но рас*шифро*вать с помощью скрип*та CobaltStrikeParser. Внут*ри бло*бов обна*ружат*ся сле*дующие нас*трой*ки:



BeaconType: HTTP

Port: 8172

SleepTime: 60842

MaxGetSize: 1048576

Jitter: 0

MaxDNS: Not Found

PublicKey_MD5: c5b6350189a4d960eee8f521b0a3061d

C2Server: 192.168.179.112,/dot.gif

UserAgent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; BOIE9; ENUSSEM)

HttpPostUri: /submit.php

Watermark_Hash: BeudtKgqn1m0Ruvf+VYxuw==

Watermark: 126086



В вер*сии KIM так*же есть ран*няя ревизия кода, который в 2025 году встро*или в тро*ян LKM (hkcap.c). Но она недоде*лан*ная: не хва*тает нес*коль*ких клю*чевых фай*лов, нап*ример config.h.



В под*дирек*тории /bak/ лежат ста*рые вер*сии некото*рых фай*лов.



ToyBox для Android



KIM активно тру*дит*ся над ToyBox для Android. Похоже, что этот про*ект разошел*ся с офи*циаль*ным репози*тори*ем ToyBox на GitHub где‑то с ком*мита вот с этим ID:

896fa846b1ec8cd4895f6320b56942f129e54bc9



Мы пока не выяс*нили, для чего пред*назна*чены мно*гочис*ленные модифи*кации ToyBox.



Приг*лаша*ем комь*юни*ти разоб*рать*ся.



Ivanti Control, он же RootRot



Где лежит: mnt/hgfs/Desktop/ivanti_control



Пред*став*ляем исходный код кли*ента для дос*тупа к пуб*лично извес*тно*му бэк*дору.



В 2017 году пар*ни из Synacktiv по ошиб*ке при*няли зак*ладку за уяз*вимость. Но поз*же выяс*нилось, что это дей*стви*тель*но был имплант, оставлен*ный зло*умыш*ленни*ками.



Он называ*ется RootRot.



Этот зап*рос отве*тит сло*вом HIT, если бэк*дор акти*вен:



Bushfire



Где лежит: /mnt/hgfs/Desktop/exp1_admin.py



Этот файл так*же содер*жится в ivanti-new-exp-20241220.zip.



Это экс*пло*ит для Ivanti, воз*можно, для CVE-2025-0282, CVE-2025-0283 или CVE-2025-22457. Пей*лоад уста*нав*лива*ет бэк*дор.



Не*дав*но ребята из Mandiant засек*ли в дикой при*роде инте*рес*ный пей*лоад. Они при*писы*вают его груп*пиров*ке UNC5221, свя*зан*ной с Кита*ем.



Скрипт exp1_admin.py исполь*зует те же коман*ды iptables, которые Mandiant наш*ли в дикой при*роде.



Экс*пло*ит идет в ком*плек*те с докумен*таци*ей, которая в перево*де зву*чит так: «Свя*жись с нами, если экс*пло*ит не сра*бота*ет».



Это может ука*зывать на свя*зи меж*ду груп*пиров*ками в раз*ных государс*твах: воз*можно, они обме*нива*ются кодом и ока*зыва*ют друг дру*гу под*дер*жку.



Этот пей*лоад так*же откры*вает уда*лен*ный дос*туп к ском*про*мети*рован*ной сис*теме. Инте*рес*ное начина*ется на стро*ке 2219, где генерят*ся клю*чи и магичес*кие зна*чения:



ключ име*ет все*го 2064 раз*личных ком*бинаций (менее 31 бит стой*кос*ти);

ма*гичес*кое зна*чение име*ет (26 × 2 + 10)3 раз*личных ком*бинаций (менее 18 бит стой*кос*ти).



Шиф*рование про*исхо*дит на 85-й стро*ке, и это... XOR с 31-бит*ным клю*чом!



Фун*кцию detect_door (стро*ка 335) мож*но исполь*зовать для уда*лен*ного обна*руже*ния бэк*дора.



За*меть, что, что*бы пос*тучать*ся в бэк*дор, нуж*но толь*ко магичес*кое зна*чение, а не ключ. Оно переда*ется в пер*вых 24 битах ClientRandom в сооб*щении TLS Client Hello. Шанс, что обыч*ный ClientRandom будет иметь вот такую началь*ную 24-бит*ную ком*бинацию, — при*мер*но 1 к 70.



SpawnChimera и газета The Hankyoreh



Где лежит: mnt/hgfs/Desktop/New folder/203.234.192.200_client.zip



Кли*ент получа*ет дос*туп к бэк*дору SpawnChimera через порт‑нокинг.



IP-адрес 203.234.192.200 при*над*лежит hani.co.kr (The Hankyoreh) — либераль*ной газете из Южной Кореи.



Как работа*ет port knocking, мож*но пос*мотреть в client.py на 152-й стро*ке.



Еще он спря*тан в TLS Client Hello, в 32-бай*товом поле ClientRandom, но с новой осо*бен*ностью: пер*вые 4 бай*та дол*жны содер*жать пра*виль*ный CRC32 оставших*ся 28 байт.



Приг*лаша*ем сооб*щес*тво коп*нуть пог*лубже.



Кто такой Kimsuky



Мы приш*ли к выводу, что перед нами Kimsuky: цепоч*ка арте*фак*тов и намеков сло*жилась в их фир*менный почерк — слиш*ком уж точ*ное сов*падение, что*бы при*писать его кому‑то еще.



Сре*ди улик — нас*трой*ка локали: выс*тавлен корей*ский язык. К тому же куча кон*фигов для домен*ных имен, которые свя*заны с ата*ками Kimsuky. Най*ден*ный код перек*лика*ется с тем, что исполь*зовали в пре*дыду*щих кам*пани*ях.



Еще одна инте*рес*ная деталь — у зло*умыш*ленни*ка чет*кий рабочий гра*фик: каж*дый день он под*клю*чает*ся при*мер*но в 09:00 и исче*зает к 17:00 по вре*мени Пхень*яна.



Операция Covert Stalker



Опе*рация Covert Stalker — так в южно*корей*ской ИБ‑ком*пании АhnLab окрести*ли мно*гоме*сяч*ную фишин*говую ата*ку из КНДР, нап*равлен*ную про*тив отдель*ных лич*ностей и орга*низа*ций в Южной Корее. Жер*твы — жур*налис*ты, иссле*дова*тели, полити*ки и дру*гие.

www



От*чет АhnLab, PDF (на корей*ском)



На сис*теме зло*умыш*ленни*ка мы обна*ружи*ли нас*трой*ки веб‑сер*вера для домена, свя*зан*ного с этой ата*кой.

SSLCertificateFile /etc/letsencrypt/live/nid-security.com/cert.pem



Украденные сертификаты GPKI



В начале 2024 года спе*циалис*ты из S2W нат*кну*лись на новую мал*варь под наз*вани*ем Troll Stealer, написан*ную на Go. Она уме*ет утас*кивать GPKI-сер*тифика*ты (Government Public Key Infrastructure) и клю*чи, которые хра*нят*ся на заражен*ных девай*сах.



GPKI — это такая сис*тема, бла*года*ря которой чинов*ники Южной Кореи могут под*писывать докумен*ты и под*тверждать их под*линность. Так вот, мы наш*ли тысячи таких фай*лов на рабочей машине учас*тни*ка KIM.

subject=C=KR, 0=Government of Korea, OU=Ministry of Unification, OU=people, CN=Lee Min-kyung

issuer=C=KR, 0=Government of Korea, OU=GPKI, CN=CA131100001



Где лежит: work/home/user/Desktop/desktop/uni_certs и work/home/user/Downloads/cert/



Вла*делец машины соз*дал прог*рамму на Java, что*бы взло*мать пароли, защища*ющие клю*чи и сер*тифика*ты.

136박정욱001_env.key Password $cys13640229

041????001_env.key Password !jinhee1650!

041????001_sig.key Password ssa9514515!!

[ ... ]



Где лежит: work/home/user/Downloads/cert/src/cert.java





Атака на похожие цели



Вла*делец машины ата*ковал те же цели, что в прош*лом при*писы*вали кибера*такам груп*пиров*ки Kimsuky.

Naver



Naver Corporation — это южно*корей*ская кор*порация, запус*тившая кучу раз*ных сер*висов. У них есть поис*ковик, обог*навший все мес*тные ана*логи, мобиль*ные пла*тежи через Naver Pay, кар*ты в духе Google Maps, поч*товый сер*вис и еще мно*го чего инте*рес*ного.



Naver уже не пер*вый раз ста*новит*ся мишенью для ата*ки со сто*роны Север*ной Кореи. В 2024 году Zscaler рас*копали новую хро*мовую рас*ширюху под наз*вани*ем TRANSLATEXT от кибер*прес*тупной груп*пиров*ки Kimsuky. Это рас*ширение может впен*дюрить про*изволь*ные JS-скрип*ты при откры*тии опре*делен*ных стра*ниц. Нап*ример, ког*да ты заходишь на стра*ницу логина Naver — nid.naver.com, рас*ширение закиды*вает в бра*узер auth.js и тихо сли*вает твои логин — пароль.



Фи*шин*говая ата*ка, о которой рас*ска*зыва*ется в раз*деле 2.1, исполь*зует домен nid.navermails.com в качес*тве основно*го URL. Вся заг*воз*дка в том, что этот домен креп*ко свя*зан с Kimsuky, как выяс*нили ребята из AhnLab.

Министерство объединения



Од*ной из регуляр*ных мишеней Kimsuky явля*ется Минис*терс*тво объ*еди*нения Южной Кореи. Зло*умыш*ленни*ки смек*нули, как под*ловить GPKI на взло*ман*ных паролях, и наката*ли спе*циаль*но заточен*ный под это вор*длист для перебо*ра. Логи чет*ко показы*вают, что эти пароли гоняли про*тив домена минис*терс*тва.

unikorea123$

unikoreal!! unikorea100

unikorea625!

[...]



Где лежит: work/home/user/Downloads/cert/dict/pass.txt



AiTM-атака на пользователей Microsoft: гипотеза



В середи*не 2022 года Microsoft и Zscaler обна*ружи*ли ата*ку AiTM. Ата*кующие исполь*зовали веб‑сер*вер, который работа*ет как прок*си меж*ду нас*тоящей стра*ницей вхо*да и жер*твой.



Жер*твам при*ходи*ло пись*мо с заману*хой в виде HTML-вло*жения. Откры*ваешь его, и тебя тут же переки*дыва*ет на прок*си через HTTPS. Прок*си, в свою оче*редь, переки*дыва*ет любой зап*рос на сер*веры Microsoft, заново шиф*руя дан*ные через HTTPS.



Как толь*ко жер*тва логини*лась, прок*си под*хва*тывал ее сес*сион*ные куки и перенап*равлял на сер*вер Microsoft.



Ук*раден*ная кука валид*на и может быть исполь*зована зло*умыш*ленни*ком без необ*ходимос*ти про*ходить авто*риза*цию с MFA. Для этой кам*пании при*менял*ся домен websecuritynotice.com.



Кон*крет*но этот домен мы в дам*пе не обна*ружи*ли, но наш*ли очень похожий (заметь лиш*нюю бук*ву s):

subject=CN=*.websecur1tynotices.com



Где лежит: vps/etc/letsencrypt/live/websecuritynotices.com



Так*тика, тех*ника и про*цеду*ры (TTP), схо*жесть домен*ных имен и дей*ствия пос*ле взло*ма (мошен*ничес*тво с пла*тежа*ми и так далее) ука*зыва*ют на явную связь с груп*пой Kimsuky.



KIM — китаец?



KIM перево*дит корей*ский на упро*щен*ный китай*ский через Google Translate. Похоже, без перево*да он понима*ет по‑корей*ски сов*сем нем*ного.



KIM работа*ет по рас*писанию китай*ских праз*дни*ков. С 31 мая по 2 июня отме*чали праз*дник дра*конь*их лодок, и в это вре*мя KIM взял передыш*ку, тог*да как в Север*ной Корее это был обыч*ный рабочий день.



При этом ути*лита hindsight показа*ла, что в нас*трой*ках Chrome у KIM выс*тавле*но корей*ское стан*дар*тное вре*мя.



Забавные факты и приколы



В сен*тябре 2023 года нек*то под псев*донимом KIM попытал*ся при*обрести домен nextforum-online.com на Namecheap.com. Опла*та бит*коином, что может пой*ти не так?



Па*ру дней спус*тя Namecheap заб*локиро*вал домен, не объ*ясняя при*чину. Ког*да KIM попытал*ся вос*ста*новить дос*туп, в Namecheap ска*зали сле*дующее:



Что*бы под*твер*дить легитим*ность зарегис*три*рован*ных доменов, пре*дос*тавь нам сле*дующую информа*цию:

Цель регис*тра*ции домена.

До*кумен*ты, под*твержда*ющие пол*номочия дей*ство*вать от име*ни Microsoft, или же под*твержде*ние того, что дан*ные домены не отно*сят*ся к этой ком*пании.



Что ж, получа*ется, что Namecheap не такой уж неп*робива*емый!



Еще занят*ный факт: в 2020 году, ког*да домен websecuritynotice.com исполь*зовали в фишин*говой кам*пании, вла*делец соз*дал для этих атак нес*коль*ко под*доменов с реалис*тичны*ми адре*сами.

login.websecuritynotice.com. IN A 80.240.25.169

wwwoffice.websecuritynotice.com. IN A 80.240.25.169

www-microsoft.websecuritynotice.com. IN A 80.240.25.169

prod-msocdn-25ae5ec6.websecuritynotice.com. IN A 80.240.25.169

prod-msocdn-55e5273a.websecuritynotice.com. IN A 80.240.25.169

prod-msocdn-84311529.websecuritynotice.com. IN A 80.240.25.169

prod-msocdn-c7b8a444.websecuritynotice.com. IN A 80.240.25.169

aadcdn-msauth-84311529.websecuritynotice.com. IN A 80.240.25.169

sts-glb-nokia-346189f1.websecuritynotice.com. IN A 80.240.25.169

res-cdn-office-84311529.websecuritynotice.com. IN A 80.240.25.169

aadcdn-msftauth-25ae5ec6.websecuritynotice.com. IN A 80.240.25.169

aadcdn-msftauth-55e5273a.websecuritynotice.com. IN A 80.240.25.169

aadcdn-msftauth-84311529.websecuritynotice.com. IN A 80.240.25.169

r4-res-office365-55e5273a.websecuritynotice.com. IN A 80.240.25.169

r4-res-office365-84311529.websecuritynotice.com. IN A 80.240.25.169



Од*нако в 2025 году KIM поленил*ся и поль*зовал*ся толь*ко глав*ным доменом:

http://www.websecuritynotices.com/re...tsaWQub3Iua3I=



Па*раметр i — это закоди*рован*ный в Base64 адрес элек*трон*ной поч*ты получа*теля. В нашем слу*чае это [email protected].



В янва*ре 2025 года этот домен ука*зывал на IP 104.167.16.97. А в мар*те 2025-го домен download.sponetcloud.com тоже резол*вился в этот же IP.



На VirusTotal есть его родс*твен*ник: sharing.sponetcloud.com. Вот спи*сок URL-адре*сов, которые с этим доменом свя*заны:

https://sharing.sponetcloud.com/logo...BzcG8uZ28ua3I=

https://sharing.sponetcloud.com/bigf...BzcG8uZ28ua3I=



Па*рамет*ры сно*ва зашиф*рованы в Base64, но при декоди*рова*нии видим адре*са [email protected] и [email protected]. Оба адре*сата работа*ют в про*кура*туре Южной Кореи.



Те же самые адре*са элек*трон*ной поч*ты (и еще куча дру*гих) всплы*вают на VPS Кима в фай*ле request_log.txt:

[email protected]

[email protected]">[email protected]

[email protected]

[...]



Не может ли это быть под*делкой? KIM ведь мог спе*циаль*но нап*равить часть сво*их доменов на IP-адре*са, которые ког*да‑то были зас*вечены в связ*ке с Kimsuky.



Нап*ример, у nid-security.com вот такая исто*рия хос*тинга DNS:

nid-security.com. IN A 27.255.80.170 (observation date: 2024-11-05) nid-security.com. IN A 45.133.194.126 (observation date: <= 2025-05-09)

nid-security.com. IN A 185.56.91.21

nid-security.com. IN A 192.64.119.241

*.nid-security.com. IN A 45.133.194.126

lcs.nid-security.com. IN A 27.255.80.170

lcs.nid-security.com. IN A 45.133.194.126

nid.nid-security.com. IN A 27.255.80.170

nid.nid-security.com. IN A 45.133.194.126

www.nid-security.com. IN A 45.133.194.126

rcaptcha.nid-security.com. IN A 27.255.80.170

rcaptcha.nid-security.com. IN A 45.133.194.126

zwkd3e3wbc.nid-security.com. IN A 45.133.194.126



Лог фишин*га на VPS от 2 декаб*ря 2024 года зас*ветил вот такой домен:

https://nid.nid-security.com/bigfile...R-dbnMHVV7NJ4N



В этом месяце домен резол*вился на 45.133.194.126. Так что же, 27.255.80.170 был прос*то улов*кой?



И напос*ледок еще одна забав*ная деталь. Ког*да Kimsuky регис*три*ровал домен websecuritynotices.com, его поч*та зас*ветилась в записях SOA:

websecuritynotices.com IN SOA ns4.1domainregistry.com dysoni91.tutamail.com



(c) https://xakep.ru/2025/08/15/kimsuky/