Спонсируемый государством северокорейский злоумышленник, известный как TA406, недавно был замечен в использовании специального вредоносного ПО для кражи информации в шпионских кампаниях.
Этот конкретный актер считается одной из нескольких групп, известных как Кимсуки (также известный как Таллий ). TA406 оставил следы небольшой активности с 2018 года, в основном сосредоточившись на шпионаже, мошенничестве с целью получения денег и вымогательстве.
Однако в марте и июне 2021 года TA406 запустила две отдельные кампании по распространению вредоносного ПО, нацеленные на внешнеполитических экспертов, журналистов и членов НПО (неправительственных организаций).
В новом отчете исследователи из Proofpoint отследили TA406, взяли образцы своих инструментов и обнаружили службы, которыми они злоупотребляют, и используемые ими фишинговые приманки.
Крупная, но целенаправленная операция
TA406 занимается распространением вредоносных программ, фишингом, сбором разведданных и кражей криптовалюты, что приводит к широкому спектру преступных действий.
Согласно отчету Proofpoint, актеры работают примерно с 9 утра до 5 вечера (KST), семь дней в неделю, взламывая свою постоянную работу.
Диапазон нацеливания довольно широк, включая Северную Америку, Россию, Китай, Южную Корею, Японию, Германию, Францию, Великобританию, Южную Африку, Индию и другие страны.
В фишинговых письмах, отправляемых TA406, обычно используются приманки о ядерной безопасности, политике и внешней политике Кореи, в то время как нацелены на высокопоставленных выборных должностных лиц.
В число получателей этой кампании входили некоторые из высокопоставленных выборных должностных лиц нескольких различных правительственных учреждений, сотрудник консалтинговой фирмы, правительственные учреждения, связанные с обороной, правоохранительными органами, экономикой и финансами, а также обычные почтовые ящики для правления и отношений с клиентами крупное финансовое учреждение », — поясняет отчет Proofpoint .
Письма отправляются с взломанных веб-сайтов, и отправитель обычно выдает себя за реальных людей вместо того, чтобы создавать фальшивые личности.
Примеры включают редактора Global Asia, профессора Университета Йонсей и советника президента Мун Чжэ Ина.
Особый интерес представляет то, что при проведении фишинговых кампаний для сбора учетных данных TA406 обычно не создает тщательно продуманных целевых страниц для имитации известного сервера. Вместо этого они используют базовую аутентификацию HTTP, которая отображает диалоговое окно браузера с запросом учетных данных пользователя.
Приманки, как правило, представляют собой файлы PDF, для просмотра которых от получателя требуется войти на хостинговую платформу, используя свои личные или корпоративные учетные данные.
Специальное вредоносное ПО для кражи информации
Начиная с января 2021 года TA406 начал сбрасывать вредоносные программы через фишинговые электронные письма, ведущие к архивам 7z. Эти архивы содержали EXE-файл с двойным расширением, который выглядел как файл .HTML.
Если открыть файл, будет создана запланированная задача с именем «Twitter Alarm», которая позволяет участникам сбрасывать дополнительные полезные данные каждые 15 минут.
После выполнения EXE также открывает в веб-браузере файл PDF с законной статьей NK News, размещенной в инфраструктуре актера, пытаясь обмануть жертву, заставляя ее думать, что она читает сообщение на новостном сайте.
В июне 2021 года TA406 начал развертывание специального вредоносного ПО под названием FatBoy, которое помещалось в виде HTML-вложения на диск жертвы.
У каждого из этих вложений есть уникальный хэш и невидимый iframe, чтобы общаться с злоумышленниками и сообщать им, какой получатель (IP-адрес) открыл файл.
FatBoy — это небольшое вредоносное ПО первого уровня, предназначенное для загрузки CAB-файла с C2 каждые 20 минут.
CAB-файл содержит пакетный сценарий (ball.bat), который выполняет сценарий VBS, предназначенный для выполнения разведки и извлечения информации через запросы HTTP POST.
Известная вредоносная программа TA406, которую загружает загруженное вредоносное ПО, — это YoreKey, пользовательский кейлоггер для Windows, маскирующийся под MetaTrader 4 Manager, законную платформу электронной торговли.
YoreKey обеспечивает постоянство, создавая раздел реестра и сохраняя его журналы в виде обычного текста в зараженной системе.
Кейлоггер позволяет злоумышленникам украсть другие учетные данные для входа, введенные пользователем при использовании своего устройства.
Кража криптовалюты
Параллельно с вышесказанным TA406 также участвует в операциях по краже криптовалюты и, согласно выводам Proofpoint, получил не менее 3,77 биткойнов на сумму примерно 222000 долларов.
Это делается с помощью различных методов, в том числе выдавая себя за НПО для пожертвований, предлагая (возможно, поддельные) услуги по декодированию / деобфускации файлов через веб-сайт под названием «Deioncube» и мошенничество с сексторцией.
Возможно, количество украденной криптовалюты намного больше, поскольку злоумышленники, вероятно, используют дополнительные кошельки, неизвестные исследователям Proofpoint.
Ожидается, что атаки продолжатся
Учитывая широкий спектр злонамеренных действий, совершаемых хакерами TA406 и Kimsuky, мы должны продолжать наблюдать, как они проводят дальнейшие атаки от имени правительства Северной Кореи.
«Proofpoint ожидает, что этот злоумышленник продолжит часто проводить операции по краже корпоративных учетных данных, нацеливаясь на организации, представляющие интерес для правительства Северной Кореи», — говорят исследователи Proofpoint.
Эти атаки включают дальнейшие нападения на американских оборонных подрядчиков и ядерных исследовательских агентств с целью кражи ценных разведданных, которые может использовать правительство Северной Кореи.
Последнее обновление 05.01.2023
