Виявлено нове шпигунське ПЗ, яке використовується північнокорейськими хакерами

Дослідники безпеки з компанії Cybereason розповіли про новий шкідливі програми, яке використовувала північнокорейська угруповання Kimsuky (також відома як Black Banshee, Velvet Chollima і Thallium) в ході атак на урядові установи Південної Кореї.

Раніше Агентство з кібербезпеки і безпеки інфраструктури (CISA), Федеральне бюро розслідувань (ФБР) і кіберкомандування Національної кібернетичної групи (Cyber ​​National Mission Force, CNMF) (CNMF) опублікували спільну попередження про шкідливої ​​кампанії, організованої північнокорейської угрупованням Kimsuky.

Угруповання, імовірно, діє з 2012 року і займається збором розвідданих. Основною тактикою кіберзлочинців є цілеспрямований фішинг. Kimsuky атакує визнаних експертів у різних областях, аналітичних центрах та державних структурах Південної Кореї.

Тепер команда фахівців Nocturnus з Cybereason надала детальну інформацію про дві нові родини шкідливих програм, що використовуються Kimsuky – про раніше невідомому модульному шпигунському ПО під назвою KGH_SPY і новому засобі завантаження шкідливих програм під назвою CSPY Downloader.

KGH_SPY є модульний набір інструментів, який дозволяє виконувати операції по кібершпіонажу, включаючи розвідку, кейлоггінг, крадіжку інформації і доступ через бекдор до скомпрометованим системам.

CSPY Downloader, з іншого боку, був розроблений для захисту від виявлення і має розширені можливості антіаналіза. Шкідлива програма допомагає зловмисникам визначити, чи є цільова система «чистої» для подальшого злому, і дозволяє їм облаштовувати додаткові корисні навантаження.

Шпигунське ПЗ поширюється за допомогою шкідливих документів, які виконують великий аналіз цільової системи. Шкідливий може забезпечувати персистентність на системі, виконувати кейлоггінг, завантажувати додаткові корисні навантаження і виконувати довільний код, крім крадіжки інформації з таких додатків, як Chrome, Edge, Firefox, Opera, Thunderbird, і Winscp.

Завантажувач CSPY Downloader працює програмне забезпечення додаткову корисне навантаження до тих пір, поки не буде проведена серія перевірок з метою визначити, чи працює ПО в віртуальному середовищі або присутній на системі відладчик. Як показав аналіз нового шкідливого ПО, зловмисники змінили тимчасові мітки створення / компіляції своїх інструментів так, щоб вони були датовані 2016 роком.