AppleSeed, Meterpreter и TinyNuke: что ещё скрывает арсенал северокорейской Kimsuky

[Artifact]

Хакеры регулярно прибегают к целевому фишингу, чтобы соблюсти интересы КНДР на международной арене.
Южнокорейские специалисты кибербезопасности из компании ASEC обнаружили активность хакеров, связанных с Северной Кореей. Группа преступников, известная как Kimsuky, использует методы целевого фишинга для распространения разнообразных вредоносных программ, включая AppleSeed, Meterpreter и TinyNuke, с целью захвата контроля над заражёнными системами.
Kimsuky, действующая уже более десяти лет, изначально была нацелена на Южную Корею, но с 2017 года расширила свою активность и на другие регионы. Группа была подвергнута санкциям со стороны США за сбор разведданных в интересах правительства КНДР.
Основной метод атак Kimsuky — отправка фишинговых писем с вредоносными документами, ведущими к установке различных видов вредоносного ПО. Одним из ключевых инструментов группы является AppleSeed, DLL-вредонос, используемый с мая 2019 года. Не так давно он был дополнен версией для Android, а также новым вариантом на языке Golang, названным AlphaSeed.
AppleSeed предназначен для получения команд с сервера злоумышленников, загрузки дополнительных вредоносных программ и эксфильтрации конфиденциальных данных. AlphaSeed, разработанный на Golang, использует библиотеку «chromedp» для связи с сервером управления, в отличие от AppleSeed, который использует протоколы HTTP или SMTP.
Существуют данные, что Kimsuky использовала AlphaSeed в реальных атаках с октября 2022 года, причём в некоторых случаях на одну и ту же систему доставлялись как AppleSeed, так и AlphaSeed.
Также злоумышленники часто применяют такие программы, как Meterpreter и VNC-программы, включая TightVNC и TinyNuke, для контроля над уже заражёнными системами.
В дополнение, компания Nisos также недавно выявила деятельность северокорейских IT-специалистов, которые через фиктивные аккаунты на LinkedIn и GitHub незаконно получали удалённую работу в американских компаниях.
Северокорейские хакеры в последние годы осуществили целую серию сложных атак, сочетая новые тактики и уязвимости цепочек поставок для атак на компании, работающие с блокчейном и криптовалютами. Цель таких атак остаётся неизменной даже спустя годы — в приоритете хакеров кража интеллектуальной собственности и виртуальных активов.
Агрессивный характер атак Kimsuky и прочих северокорейских объединений лишь подчёркивает рвение закрытого государства обойти международные санкции и незаконно извлекать выгоду из киберпреступных схем.