Кибергруппировка Kimsuky обновила инструменты для атак на госструктуры, оборонные компании и частные предприятия

Злоумышленники по-прежнему начинают с фишинговых писем, но после заражения всё чаще прячут удалённый доступ за легальными сервисами, включая Visual Studio Code, DWAgent, Cloudflare Quick Tunnels и Ngrok, сообщил Касперский.Атака начинается с письма под видом рабочего документа, анкеты, коммерческого предложения, материала от госоргана или личного файла. Во вложении скрывается загрузчик в формате JSE, EXE, PIF или SCR. После запуска приманка открывает обычный документ, а вредоносный код распаковывается на диск, использует системные инструменты Windows и запускает один из модулей Kimsuky.

Исследователи связали свежие атаки с двумя основными цепочками вредоносов: PebbleDash и AppleSeed. PebbleDash чаще применяют против оборонного сектора, AppleSeed заметнее связан с атаками на государственные организации. В новых образцах PebbleDash специалисты нашли HelloDoor, httpMalice, MemLoad и httpTroy.

HelloDoor стал первым найденным у Kimsuky бэкдором на Rust, согласно Securitylab. Возможности вредоноса пока выглядят ограниченными, поэтому исследователи считают версию ранней. В коде HelloDoor также обнаружились признаки возможного использования большой языковой модели: комментарии с эмодзи и характерные отладочные строки. При этом в тексте остались опечатки, поэтому часть комментариев могла появиться вручную до или после помощи ИИ.

Самым развитым компонентом в отчёте выглядит httpMalice. Бэкдор собирает сведения о заражённом компьютере, проверяет уровень прав, закрепляется через службу Windows или автозапуск в реестре, отправляет снимки экрана и ждёт команды с управляющего сервера. Через httpMalice оператор может выполнять команды, скачивать файлы, отправлять архивы каталогов, загружать новую полезную нагрузку в память и удалять следы присутствия.

Связка MemLoad и httpTroy помогает Kimsuky осторожнее закрепляться в системе. MemLoad проверяет окружение, оценивает заражённый компьютер, создаёт запланированную задачу и загружает дополнительный модуль. Затем httpTroy обеспечивает длительный доступ и вывод данных с устройства.

AppleSeed развивается отдельно. В актуальной цепочке вредонос собирает документы, скриншоты, нажатия клавиш, сведения об USB-накопителях и каталог C:\GPKI. В Южной Корее такой каталог может содержать цифровые сертификаты для доступа чиновников и государственных систем, поэтому кража данных даёт атакующим не только файлы, но и потенциальный путь к новым целям.

Отдельное внимание исследователи обратили на использование известных инструменты. Kimsuky использовала функцию Remote Tunneling в Visual Studio Code: дроппер скачивал официальный клиент VSCode, создавал туннель через GitHub-аутентификацию и отправлял оператору адрес для подключения. Для защитных систем такой трафик выглядит как обычная связь с инфраструктурой Microsoft, а не как работа вредоносного управляющего сервера.

Похожую роль выполнял DWAgent. Злоумышленники устанавливали программу удалённого администрирования с заранее подготовленной конфигурацией, привязанной к собственному аккаунту. После запуска DWService оператор сразу получал удалённый доступ к устройству через легитимные серверы сервиса.

Касперский считает, что обе цепочки атак связаны с Kimsuky: на это указывают одинаковые способы доставки, пересекающиеся цели, похожие технические признаки и образцы, подписанные одним украденным сертификатом. Новая кампания показывает, что группировка не бросает старые разработки, а постепенно дорабатывает код и смешивает вредоносные модули с легальными инструментами, чтобы дольше оставаться незаметной.