Хакеры Kimsuki используют стандартные RAT с пользовательским вредоносным ПО Gold Dragon

gold-dragon.webp
Южнокорейские исследователи заметили новую волну активности со стороны хакерской группы Kimsuky, включающую общедоступные инструменты удаленного доступа с открытым исходным кодом, выпущенные вместе с их специальным бэкдором Gold Dragon.
Kimsuky — спонсируемая государством северокорейская хакерская группа, также известная как TA406, которая с 2017 года активно участвует в кампаниях кибершпионажа.

Группа продемонстрировала впечатляющую операционную гибкость и плюрализм активности угроз, занимаясь распространением вредоносных программ, фишингом, сбором данных и даже кражей криптовалюты.

В последней кампании, замеченной аналитиками ASEC (AhnLab), Kimsuky использует xRAT в целевых атаках на южнокорейские организации. Кампания началась 24 января 2022 года и продолжается до сих пор.

Товарная крыса​

xRAT — это инструмент удаленного доступа и администрирования с открытым исходным кодом, доступный бесплатно на GitHub . Вредоносная программа предоставляет ряд функций, таких как кейлоггинг, удаленная оболочка, действия файлового менеджера, обратный прокси-сервер HTTPS, связь AES-128 и автоматизированная социальная инженерия.
Искушенный злоумышленник может выбрать стандартные RAT, потому что для базовых разведывательных операций эти инструменты вполне подходят и не требуют особой настройки.
Это позволяет злоумышленникам сосредоточить свои ресурсы на разработке вредоносного ПО более поздних стадий, для которого требуются более специализированные функции в зависимости от инструментов/методов защиты, имеющихся у цели.
Кроме того, стандартные RAT смешиваются с активностью широкого спектра субъектов угроз, что затрудняет для аналитиков отнесение вредоносной активности к определенной группе.

Бэкдор Золотого Дракона​

Gold Dragon — это бэкдор второго уровня, который Kimsuky обычно развертывает после безфайловой атаки первого этапа на основе PowerShell, использующей стеганографию.
Это было задокументировано в отчете Cybereason за 2020 год и анализе 2021 года, проведенном исследователями Cisco Talos , поэтому это не новое вредоносное ПО.
Однако, как объясняет ASEC в своем отчете, вариант, который они обнаружили в этой последней кампании, имеет дополнительные функции, такие как эксфильтрация базовой системной информации.
Вредоносная программа больше не использует системные процессы для этой функции, а вместо этого устанавливает инструмент xRAT для кражи необходимой информации вручную.
XRAT.webpИнструмент xRAT
Источник: ASEC

RAT замаскирован под исполняемый файл с именем cp1093.exe, который копирует обычный процесс PowerShell (powershell_ise.exe) в путь «C:\ProgramData\» и выполняет его через процесс.
Что касается эксплуатационных аспектов Gold Dragon, он продолжает использовать тот же метод очистки процессов для iexplore.exe и svchost.exe и по-прежнему пытается отключить функции обнаружения в реальном времени в продуктах AhnLab AV.
«Злоумышленник установил Gold Dragon через эксклюзивный установщик (installer_sk5621.com.co.exe). Установщик загружает Gold Dragon, сжатый в виде Gzip-файла, с сервера злоумышленника, распаковывает его как «in[случайные 4 числа].tmp» по пути %temp%, а затем запускает его через rundll32.exe». - АСЕК .
Затем установщик добавляет новый раздел реестра, чтобы обеспечить постоянство при запуске полезной нагрузки вредоносного ПО (glu32.dll).

registry.webpНовая запись в реестре для основной полезной нагрузки
. Источник: ASEC.
Наконец, Kimsuky выпускает деинсталлятор (UnInstall_kr5829.co.in.exe), который может удалить следы компрометации, если и когда это необходимо.
wiper.webp

Средство для удаления следов инфекции Кимсуки
Источник: ASEC

AhnLab рекомендует пользователям воздерживаться от открытия вложений в письмах из неизвестных источников, так как это остается основным каналом распространения вредоносного ПО для Kimsuk

Bliping Computer
 
Назад
Сверху Снизу