Правительство США предупредило об атаках APT-группировки Kimsuky

[Artifact]

Основной тактикой киберпреступников является целенаправленный фишинг против экспертов из различных областей.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) https://us-cert.cisa.gov/ncas/alerts/aa20-301aсовместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.
Группировка, предположительно, действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.
APT использовала учетные данные web-хостинга для размещения своих вредоносных скриптов и инструментов. В доменах-жертвах преступники создали поддомены, имитирующие легитимные сайты и службы. Хакеры также отправляли целевым адресатам доброжелательные электронные письма для укрепления доверия до последующего электронного письма с вредоносным вложением или ссылкой. Kimsuky адаптирует свои подходы к дистанционному фишингу и социальной инженерии, используя темы, связанные с COVID-19, северокорейской ядерной программой или интервью для СМИ.
После получения начального доступа Kimsuky использует вредоносное ПО BabyShark и PowerShell или командную оболочку Windows. BabyShark — вредоносная программа на основе Visual Basic Script (VBS). Хакеры используют на скомпрометированной системе встроенную утилиту Microsoft Windows mshta.exe для загрузки и выполнения файла приложения HTML из удаленной системы. Затем файл HTA загружает, декодирует и выполняет закодированный файл BabyShark VBS. Скрипт поддерживает персистентность, создавая ключ реестра, который выполняется при автозапуске системы. Затем он собирает системную информацию и отправляет ее на C&C-серверы и ожидает дальнейших команд.
Kimsuky продемонстрировала способность обеспечивать себе персистентность с помощью вредоносных расширений браузера, изменения системных процессов, управления автоматическим запуском, использования протокола удаленного рабочего стола и изменения ассоциации файлов по умолчанию для приложения.
Kimsuky использует хорошо известные методы повышения привилегий. Данные методы включают размещение сценариев в папке автозагрузки, создание и запуск новых служб, изменение сопоставлений файлов по умолчанию и внедрение вредоносного кода в explorer.exe. Kimsuky использовал Win7Elevate (эксплоит из среды Metasploit) для обхода контроля учетных записей пользователей и внедрения вредоносного кода в explorer.exe. Этот вредоносный код расшифровывает набор инструментов для кейлоггинга и удаленного управления доступом, а также средств удаленного управления загрузкой и выполнением из ресурсов, независимо от операционной системы жертвы. Затем он сохраняет расшифрованный файл на диск со случайным, но зашифрованным именем во временной папке пользователя и загружает этот файл как библиотеку, гарантируя, что инструменты будут в системе даже после перезагрузки.