Вредоносная кампания началась 24 января 2022 года и продолжается до сих пор.
Южнокорейские исследователи из компании AhnLab зафиксировали новую волну активности со стороны северокорейской хакерской группировки Kimsuky (также известной как TA406). Киберпреступники используют общедоступные инструменты для удаленного доступа с открытым исходным кодом и специальный бэкдор Gold Dragon.
В текущей кампании Kimsuky использует инструмент для удаленного доступа xRAT для осуществления атак на южнокорейские организации. Кампания началась 24 января 2022 года и продолжается до сих пор.
xRAT — инструмент для удаленного доступа и администрирования с открытым исходным кодом, доступный бесплатно на GitHub. Вредоносная программа содержит ряд функций, включая кейлоггинг, удаленную оболочку, действия файлового менеджера, обратный прокси-сервер HTTPS, связь AES-128 и автоматизированную социальную инженерию.
Опытные киберпреступники используют общедоступные RAT, потому что для базовых разведывательных операций эти инструменты вполне подходят и не требуют особой настройки. Это позволяет злоумышленникам сосредоточить свои ресурсы на разработке вредоносного ПО более поздних стадий, для которого требуются более специализированные функции в зависимости от инструментов или методов защиты цели.
Gold Dragon — бэкдор второго уровня, который Kimsuky обычно устанавливает после безфайловой атаки первого этапа на основе PowerShell, использующей стеганографию. Вариант вредоноса, обнаруженный в текущей кампании, имеет дополнительные функции, такие как хищение базовой системной информации.
Если раньше для этой задачи использовались системные процессы, то теперь вместо этого устанавливается инструмент xRAT для кражи необходимой информации вручную. RAT замаскирован под исполняемый файл cp1093.exe, который копирует обычный процесс PowerShell (powershell_ise.exe) в путь «C:\ProgramData\» и выполняет его.
«Злоумышленники устанавливают Gold Dragon через installer_sk5621.com.co.exe. Установщик загружает Gold Dragon, сжатый в виде Gzip-файла, с сервера злоумышленников, распаковывает его как «in[случайные 4 числа].tmp» по пути %temp%, а затем запускает его через rundll32.exe», — рассказали эксперты.
Затем установщик добавляет новый раздел реестра для обеспечения персистентности при запуске полезной нагрузки (glu32.dll).
Наконец, Kimsuky запускает деинсталлятор (UnInstall_kr5829.co.in.exe), который может удалить следы компрометации в случае необходимости.
Источник: securitylab