Згідно зі звітом, опублікованим компанією з кібербезпеки Rapid7, під час нової кампанії північнокорейське угруповання Kimsuky використовує файли-приманки на тему ядерної загрози для поширення шкідливого ПЗ.
Кампанія націлена на збір розвідувальної інформації про зовнішню політику, національну безпеку, ядерний потенціал і санкції щодо Корейського півострова. Метою атак є урядові установи та аналітичні центри Південної Кореї, а також розширення операцій на інші регіони, зокрема у США та Європі.
Фахівці повідомляють, що Kimsuky оновили свій інструментарій, почавши використовувати як приманку HTML-файли на тему ядерної зброї. Приклади назв: «Модель ескалації ядерної кризи в Північній Кореї та фактори, що визначають використання ядерної зброї.html» і «Фактори та види застосування Північною Кореєю ядерної зброї.html».
Такі приманки, частиною яких є файли у форматі Compiled HTML Help (CHM), доставляються жертвам в архівах ISO, ZIP, RAR або VHD для обходу першої лінії захисту.
Формат CHM, розроблений Microsoft, містить колекцію HTML-сторінок разом зі змістом, індексом і можливістю текстового пошуку, що робить його зручним для документації. Однак хакери виявили, що CHM може бути використаний для доставляння і виконання шкідливих навантажень.
Коли жертва відкриває файл, на комп’ютері виконується VBScript, який встановлює безліч файлів .bat і VBS для виконання команд і додає записи в реєстр для забезпечення сталості. Зібрана інформація, включно з іменами комп’ютерів, деталями ОС, апаратними характеристиками, списком запущених процесів, текою «Завантаження», нещодавніми файлами Word і списками каталогів, надсилається на сервер зловмисника.
Дослідники відзначають активне використання технік Kimsuky для збору розвідданих, наголошуючи на вдосконаленні методик кібершпигунства і постійній гонитві озброєнь між хакерами та тими, хто стоїть на захисті персональних даних. Оновлений арсенал Kimsuky підкреслює необхідність постійного посилення кіберзахисту для протистояння таким загрозам.
