Хотим сказать дорогим подписчикам, что мы не забыли про обзоры APT и сейчас готовим очередные материалы, посвященные северокорейским хакерским группам.
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Завершающая часть нашего обзора про северокорейскую APT Kimsuky. Начало вы можете найти здесь и здесь.
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Весной 2018 года южнокорейские инфосек эксперты обнаружили атаку на водопой (Watering Hole, внедрение вредоносного кода на ресурс с целью заражения посещающих его пользователей), целью которой были специализированные сайты, посетителями которых являлись преимущественно сотрудники аналитических центров, связанных с исследованиями на тему Северной Кореи, военного дела, безопасности и дипломатической деятельности. Поскольку ресерчеры из Южной Кореи не обладают большой фантазией, то кибероперацию они назвали Water Tank – совмещение Watering Hole и Think Tank.
Впрочем, конкретных TTPs, указывающих на Kimsuky южнокорецы не нашли и лишь утверждали, что Water Tank — дело рук APT из КНДР.
В начале 2019 года исследователи из южнокорейской антивирусной компании AhnLab обнаружили новую киберкампанию Kimsuky, направленную на заражение посредством фишинга компьютеров сотрудников Министерства объединения. Кампанию назвали Kabar Cobra.
Дальнейшее расследование показало, что также были атакованы военные организации и медиаиндустрия, а еще криптовалютные ресурсы. В качестве приманки использовались документы корейского текстового редактора Hancom Office, поддерживающего хангыль, фонематическое письмо корейского языка.
Ресерчеры нашли достаточное количество TTPs, указывающих на причастность Kimsuky к операции Kabar Cobra. Интересной деталью стало то, что в ходе северокорейские хакеры использовали уязвимости Hancom Office, которые они эксплуатировали еще в 2014 году. Это означало, что Kimsuky были хорошо осведомлены о том, что их цели продолжают использовать устаревшие версии текстового редактора.
В марте 2019 года, спустя год после операции Water Tank, северокорейцы опять развернули свои атаки на водопой и в этот раз экспертам удалось достоверно подтвердить причастность Kimsuky. Целями были опять же южнокорейские сайты, публикующие материалы на тему корейского объединения, а также его политических аспектов.
В ходе заражения целевых машин Kimsuky использовали стеганографию — тело вредоноса загружалось внутри файла изображения. Он собирал и эксфильтрировал файлы HWP (формат Hancom Office), DOC и PDF, а также системную информацию. Доказательством авторства Kimsuky послужили пересечения с ее вредоносной инфраструктурой, выявленной ранее.
Летом 2019 года исследователи южнокорейской команды IssueMakersLab (судя по всему, связана со спецслужбами Южной Кореи), специализирующиеся на расследовании деятельности северокорейских APT, выявили проводимую Kimsuky фишинговую кампанию, направленную на отставных сотрудников южнокорейских государственных, дипломатических и военных структур. Целями были учетные данные почтовых ящиков на Gmail и Naver, ведущего портала Южной Кореи.
Сама идея достаточно интересная, поскольку бывшие сотрудники с точки зрения инфосека защищены гораздо хуже, но в то же время часто привлекаются в качестве экспертов для решения различных текущих государственных вопросов, а также поддерживают контакты с действующими работниками ведомств.
#APT #Kimsuky
Telegram
SecAtor
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.…
Рассматривать дальнейшие атаки Kimsuky мы, пожалуй, не будем, поскольку они весьма многочисленны и регулярно всплывает информация о новой фишинговой кампании северокорейской APT. Последний пример появился буквально пару дней назад, когда Kimsuky развернули фишинговую атаку на немецкую промышленную компанию Renk AG, которая, в числе прочего, производит трансмиссию для южнокорейской бронетехники. Добавим только, что в 2020 году хакеры активно эксплуатировали тему COVID-19 в своих фишинговых приманках.
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky
Что касается противодействия хакерам из КНДР, то в декабре 2019 года компания Microsoft, называющая эту хакерскую группу Thallium, добилась в суде штата Вирджиния вынесения судебного постановления, согласно которому смогла перехватить контроль над 50 доменами, которые Kimsuky использовали в своих фишинговых атаках.
И еще один любопытный момент. Копаясь в первоисточниках мы нашли упоминание о том, что в апреле 2020 года Kimsuky атаковали российский Ростех. К сожалению, никаких подробностей нам достать не удалось.
#APT #Kimsuky