Южнокорейские специалисты кибербезопасности из компании ASEC обнаружили активность хакеров, связанных с Северной Кореей. Группа преступников, известная как Kimsuky, использует методы целевого фишинга для распространения разнообразных вредоносных программ, включая AppleSeed, Meterpreter и TinyNuke, с целью захвата контроля над заражёнными системами.
Kimsuky, действующая уже более десяти лет, изначально была нацелена на Южную Корею, но с 2017 года расширила свою активность и на другие регионы. Группа была подвергнута санкциям со стороны США за сбор разведданных в интересах правительства КНДР.
Основной метод атак Kimsuky – отправка фишинговых писем с вредоносными документами, ведущими к установке различных видов вредоносного ПО. Одним из ключевых инструментов группы является AppleSeed, DLL-вредонос, используемый с мая 2019 года. Не так давно он был дополнен версией для Android, а также новым вариантом на языке ” data-html=”true” data-original-title=”Golang” >Golang, названным AlphaSeed.
AppleSeed предназначен для получения команд с сервера злоумышленников, загрузки дополнительных вредоносных программ и эксфильтрации конфиденциальных данных. AlphaSeed, разработанный на Golang, использует библиотеку “chromedp” для связи с сервером управления, в отличие от AppleSeed, который использует протоколы ” data-html=”true” data-original-title=”HTTP” >HTTP или SMTP.
Существуют данные, что Kimsuky использовала AlphaSeed в реальных атаках с октября 2022 года, причём в некоторых случаях на одну и ту же систему доставлялись как AppleSeed, так и AlphaSeed.
Также злоумышленники часто применяют такие программы, как Meterpreter и VNC-программы, включая TightVNC и TinyNuke, для контроля над уже заражёнными системами.
В дополнение, компания Nisos также недавно выявила деятельность северокорейских IT-специалистов, которые через фиктивные аккаунты на LinkedIn и GitHub незаконно получали удалённую работу в американских компаниях.
Северокорейские хакеры в последние годы осуществили целую серию сложных атак, сочетая новые тактики и уязвимости цепочек поставок для атак на компании, работающие с блокчейном и криптовалютами. Цель таких атак остаётся неизменной даже спустя годы – в приоритете хакеров кража интеллектуальной собственности и виртуальных активов.
Агрессивный характер атак Kimsuky и прочих северокорейских объединений лишь подчёркивает рвение закрытого государства обойти международные санкции и незаконно извлекать выгоду из киберпреступных схем.