Перейти к содержанию

Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky


Рекомендуемые сообщения

Исследователи безопасности из компании Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky (также известная как Black Banshee, Velvet Chollima и Thallium) в ходе атак на правительственные учреждения Южной Кореи.

Ранее Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) опубликовали совместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.

Группировка предположительно действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.

Теперь команда специалистов Nocturnus из Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.

KGH_SPY представляет собой модульный набор инструментов, который позволяет выполнять операции по кибершпионажу, включая разведку, кейлоггинг, кражу информации и доступ через бэкдор к скомпрометированным системам.

CSPY Downloader, с другой стороны, был разработан для защиты от обнаружения и обладает расширенными возможностями антианализа. Вредоносная программа помогает злоумышленникам определить, является ли целевая система «чистой» для дальнейшего взлома, и позволяет им развертывать дополнительные полезные нагрузки.

Шпионское ПО распространяется с помощью вредоносных документов, которые выполняют обширный анализ целевой системы. Вредонос может обеспечивать персистентность на системе, выполнять кейлоггинг, загружать дополнительные полезные нагрузки и выполнять произвольный код, помимо кражи информации из таких приложений, как Chrome, Edge, Firefox, Opera, Thunderbird и Winscp.

Загрузчик CSPY Downloader не запускает дополнительную полезную нагрузку до тех пор, пока не будет проведена серия проверок с целью определить, работает ли ПО в виртуальной среде или присутствует ли на системе отладчик. Как показал анализ нового вредоносного ПО, злоумышленники изменили временные метки создания/компиляции своих инструментов так, чтобы они были датированы 2016 годом.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...