Южнокорейские исследователи заметили новую волну активности со стороны хакерской группы Kimsuky, включающую общедоступные инструменты удаленного доступа с открытым исходным кодом, выпущенные вместе с их специальным бэкдором Gold Dragon.
Kimsuky — спонсируемая государством северокорейская хакерская группа, также известная как TA406, которая с 2017 года активно участвует в кампаниях кибершпионажа.
Группа продемонстрировала впечатляющую операционную гибкость и плюрализм активности угроз, занимаясь распространением вредоносных программ, фишингом, сбором данных и даже кражей криптовалюты.
В последней кампании, замеченной аналитиками ASEC (AhnLab), Kimsuky использует xRAT в целевых атаках на южнокорейские организации. Кампания началась 24 января 2022 года и продолжается до сих пор.
Товарная крыса
xRAT — это инструмент удаленного доступа и администрирования с открытым исходным кодом, доступный бесплатно на GitHub . Вредоносная программа предоставляет ряд функций, таких как кейлоггинг, удаленная оболочка, действия файлового менеджера, обратный прокси-сервер HTTPS, связь AES-128 и автоматизированная социальная инженерия.Искушенный злоумышленник может выбрать стандартные RAT, потому что для базовых разведывательных операций эти инструменты вполне подходят и не требуют особой настройки.
Это позволяет злоумышленникам сосредоточить свои ресурсы на разработке вредоносного ПО более поздних стадий, для которого требуются более специализированные функции в зависимости от инструментов/методов защиты, имеющихся у цели.
Кроме того, стандартные RAT смешиваются с активностью широкого спектра субъектов угроз, что затрудняет для аналитиков отнесение вредоносной активности к определенной группе.
Бэкдор Золотого Дракона
Gold Dragon — это бэкдор второго уровня, который Kimsuky обычно развертывает после безфайловой атаки первого этапа на основе PowerShell, использующей стеганографию.Это было задокументировано в отчете Cybereason за 2020 год и анализе 2021 года, проведенном исследователями Cisco Talos , поэтому это не новое вредоносное ПО.
Однако, как объясняет ASEC в своем отчете, вариант, который они обнаружили в этой последней кампании, имеет дополнительные функции, такие как эксфильтрация базовой системной информации.
Вредоносная программа больше не использует системные процессы для этой функции, а вместо этого устанавливает инструмент xRAT для кражи необходимой информации вручную.
Инструмент xRATИсточник: ASEC
RAT замаскирован под исполняемый файл с именем cp1093.exe, который копирует обычный процесс PowerShell (powershell_ise.exe) в путь «C:\ProgramData\» и выполняет его через процесс.
Что касается эксплуатационных аспектов Gold Dragon, он продолжает использовать тот же метод очистки процессов для iexplore.exe и svchost.exe и по-прежнему пытается отключить функции обнаружения в реальном времени в продуктах AhnLab AV.
Затем установщик добавляет новый раздел реестра, чтобы обеспечить постоянство при запуске полезной нагрузки вредоносного ПО (glu32.dll).
Новая запись в реестре для основной полезной нагрузки. Источник: ASEC.
Наконец, Kimsuky выпускает деинсталлятор (UnInstall_kr5829.co.in.exe), который может удалить следы компрометации, если и когда это необходимо.
Средство для удаления следов инфекции Кимсуки
Источник: ASEC
AhnLab рекомендует пользователям воздерживаться от открытия вложений в письмах из неизвестных источников, так как это остается основным каналом распространения вредоносного ПО для Kimsuk
Bliping Computer
