Kimsuky, группа продвинутых устойчивых угроз (APT) из Северной Кореи, была замечена в использовании собственного вредоносного ПО под названием RandomQuery в рамках операции разведки и извлечения информации. По данным исследователей из SentinelOne, атака в основном направлена на информационные службы и организации, поддерживающие правозащитников и беженцев из Северной Кореи.
Kimsuky активна с 2012 года и была замечена в использовании различного вредоносного ПО, включая другую программу разведки под названием ReconShark. Последний кластер активности, связанный с группой, начался 5 мая 2023 года и использует вариант RandomQuery, предназначенный для идентификации файлов и извлечения конфиденциальных данных.
RandomQuery, FlowerPower и AppleSeed – некоторые из наиболее часто используемых инструментов в арсенале группы APT. Атаки начинаются с фишинговых электронных писем, содержащих файл Microsoft Compiled HTML Help (CHM), который также использовался в качестве приманки другим актером государства Северной Кореи, известным как ScarCruft.
Когда файл CHM открывается, выполняется скрипт Visual Basic, который отправляет HTTP GET запрос на удаленный сервер для загрузки вторичного полезного нагрузка, версии RandomQuery для VBScript. Затем вредоносное ПО собирает метаданные системы, работающие процессы, установленные приложения и файлы из разных папок, которые затем отправляются обратно на сервер управления и контроля (C2).
Исследователи отметили, что последовательный подход Kimsuky к доставке вредоносного ПО через файлы CHM показывает постоянно меняющийся ландшафт групп угроз из Северной Кореи, операции которых включают не только политическую шпионаж, но и саботаж и финансовые угрозы. Кроме того, группа APT также была связана с атаками, которые эксплуатируют уязвимые серверы Windows Internet Information Services (IIS) для развертывания пост-эксплуатационной среды Metasploit Meterpreter.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.