Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky

[Artifact]

Хакеры вооружились ранее неизвестным модульным шпионским ПО KGH_SPY и новым загрузчиком вредоносов CSPY Downloader.

Исследователи безопасности из компании Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky (также известная как Black Banshee, Velvet Chollima и Thallium) в ходе атак на правительственные учреждения Южной Кореи.
Ранее Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) опубликовали совместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.
Группировка, предположительно, действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.
Теперь команда специалистов Nocturnus из Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.
KGH_SPY представляет собой модульный набор инструментов, который позволяет выполнять операции по кибершпионажу, включая разведку, кейлоггинг, кражу информации и доступ через бэкдор к скомпрометированным системам.
CSPY Downloader, с другой стороны, был разработан для защиты от обнаружения и обладает расширенными возможностями антианализа. Вредоносная программа помогает злоумышленникам определить, является ли целевая система «чистой» для дальнейшего взлома, и позволяет им развертывать дополнительные полезные нагрузки.
Шпионское ПО распространяется с помощью вредоносных документов, которые выполняют обширный анализ целевой системы. Вредонос может обеспечивать персистентность на системе, выполнять кейлоггинг, загружать дополнительные полезные нагрузки и выполнять произвольный код, помимо кражи информации из таких приложений, как Chrome, Edge, Firefox, Opera, Thunderbird, и Winscp.
Загрузчик CSPY Downloader не запускает дополнительную полезную нагрузку до тех пор, пока не будет проведена серия проверок с целью определить, работает ли ПО в виртуальной среде или присутствует ли на системе отладчик. Как показал анализ нового вредоносного ПО, злоумышленники изменили временные метки создания/компиляции своих инструментов так, чтобы они были датированы 2016 годом.