Анализ угроз, связанных с кампанией Konni, нарастающую активность группы Kimsuky, применяющей различные методы для скрытных атак. Опасность заключается в использовании легальных облачных сервисов и FTP для этапного заражения целевых систем, что затрудняет обнаружение вредоносных файлов. Кампания поражает не только системы в Южной Корее, но и российские государственные учреждения, а также другие международные объекты.
Используя такие методы, как spear-phishing и вредоносные документы (например, файлы с расширением ‘.exe’, ‘.scr’, ‘.ppam’), злоумышленники маскируют свои атаки под легитимные запросы или документы. В ходе одной из таких атак, выявленных в 2022 году, злоумышленники использовали фальшивые документы, связанные с внешнеполитической деятельностью России, а также документами о налогах и финансовых операциях, что подтверждает широкие цели кампании.
Для выполнения команд удаленного управления злоумышленники используют бесплатные домены и хостинг-сервисы, что упрощает создание и скрытие серверов командного управления (C2). Важным элементом атак является модификация и внедрение вредоносного ПО через создание программных закладок (RAT) с использованием PowerShell и VBS, которые затем выполняют зашифрованные команды на скомпрометированных устройствах.
Многочисленные обнаруженные в ходе анализа файлы демонстрируют способность группы адаптироваться к условиям и использовать сложные методы обхода традиционных систем защиты, включая файловые и бесфайловые атаки. Современные системы обнаружения и реагирования на конечных точках (EDR) позволяют более оперативно выявлять угрозы и предотвращать их развитие на ранних стадиях, что снижает риск масштабных утечек данных.
За последние годы кампании, связанные с Kimsuky, включают не только целевые атаки на государственные органы, но и атаки на представителей криптовалютных операций, что указывает на финансовые мотивы группы.