Коммуналка в Пхеньяне. Зачем северокорейские хакеры делят друг с другом серверы и пароли
NewsMakerГраницы между «независимыми» Lazarus и Kimsuky оказались слишком размыты.
Группировки, действующие в интересах КНДР, продолжают активно развивать свою инфраструктуру для ведения кибершпионажа , финансовых атак и долгосрочного присутствия в скомпрометированных системах. Об этом свидетельствуют результаты совместного исследования Hunt.io и аналитического подразделения Acronis, в ходе которого удалось выявить тесные связи между инфраструктурами групп Lazarus и Kimsuky, а также проанализировать повторяющиеся техники и инструменты.
Исследование опирается на подробный анализ артефактов, оставленных киберпреступниками. Повторное использование IP-адресов, сертификатов, каталогов с инструментами и других элементов инфраструктуры позволило выявить взаимосвязанные узлы и раскрыть схожие тактики даже у формально независимых группировок. Этот подход дал возможность проследить за кампаниями, которые ранее воспринимались как разрозненные.
Одним из центральных эпизодов стал анализ двух новых вредоносных программ, связанных с Lazarus и Kimsuky. В случае с Kimsuky речь шла о новой загрузке HttpTroy, замаскированной под VPN-счёт, в то время как Lazarus применил усовершенствованную версию своего средства удалённого доступа BLINDINGCAN. В рамках той же инфраструктуры был выявлен и модифицированный вариант вредоносного ПО Badcall для Linux, включающий системный логгер, что указывает на совершенствование механизма контроля за заражёнными устройствами.
При дальнейшем анализе исследователи нашли обширные каталоги с инструментами для кражи учётных данных, такими как MailPassView и WebBrowserPassView. Эти утилиты размещались в открытых директориях, доступных по HTTP, наряду с другими программами — от средств сбора паролей до систем удалённого управления, включая Quasar RAT. Некоторые из этих каталогов насчитывали тысячи файлов и сотни подпапок, что указывает на их использование как полноценной базы для операций.
Группировки, действующие в интересах КНДР, продолжают активно развивать свою инфраструктуру для ведения кибершпионажа , финансовых атак и долгосрочного присутствия в скомпрометированных системах. Об этом свидетельствуют результаты совместного исследования Hunt.io и аналитического подразделения Acronis, в ходе которого удалось выявить тесные связи между инфраструктурами групп Lazarus и Kimsuky, а также проанализировать повторяющиеся техники и инструменты.
Исследование опирается на подробный анализ артефактов, оставленных киберпреступниками. Повторное использование IP-адресов, сертификатов, каталогов с инструментами и других элементов инфраструктуры позволило выявить взаимосвязанные узлы и раскрыть схожие тактики даже у формально независимых группировок. Этот подход дал возможность проследить за кампаниями, которые ранее воспринимались как разрозненные.
Одним из центральных эпизодов стал анализ двух новых вредоносных программ, связанных с Lazarus и Kimsuky. В случае с Kimsuky речь шла о новой загрузке HttpTroy, замаскированной под VPN-счёт, в то время как Lazarus применил усовершенствованную версию своего средства удалённого доступа BLINDINGCAN. В рамках той же инфраструктуры был выявлен и модифицированный вариант вредоносного ПО Badcall для Linux, включающий системный логгер, что указывает на совершенствование механизма контроля за заражёнными устройствами.
При дальнейшем анализе исследователи нашли обширные каталоги с инструментами для кражи учётных данных, такими как MailPassView и WebBrowserPassView. Эти утилиты размещались в открытых директориях, доступных по HTTP, наряду с другими программами — от средств сбора паролей до систем удалённого управления, включая Quasar RAT. Некоторые из этих каталогов насчитывали тысячи файлов и сотни подпапок, что указывает на их использование как полноценной базы для операций.