Северокорейские хакеры атаковали дипломатические миссии в Сеуле в рамках масштабной шпионской кампании, которая продолжается уже несколько месяцев. Источник: The Record
По данным компании Trellix, специализирующейся на кибербезопасности, за атаками стоит группировка Kimsuky, известная также как APT43, действующая в интересах Пхеньяна. Под удар попали как минимум 19 иностранных посольств и министерств иностранных дел.
Операция стартовала в марте и до сих пор не прекращается. Исследователи отметили, что хотя кампания связана с Северной Кореей, в ней прослеживаются признаки участия Китая. Активность хакеров совпадала с китайским рабочим графиком и останавливалась во время национальных праздников КНР, но никак не реагировала на выходные и праздничные дни в Южной или Северной Корее. По мнению специалистов Trellix, это может свидетельствовать о том, что атаки ведутся с территории Китая или с привлечением китайских подрядчиков.
Хакеры выдавали себя за дипломатов и чиновников, рассылая письма с вложениями, замаскированными под протоколы встреч, дипломатические письма или приглашения на официальные мероприятия. На деле внутри защищенных паролем ZIP-архивов находился троян удаленного доступа XenoRAT, который позволял полностью контролировать зараженные устройства. Эксперты отметили, что фишинговые письма были тщательно проработаны: они содержали дипломатическую лексику, подписи и ссылки на реальные события, что повышало вероятность того, что жертвы откроют файлы.
Одно из таких писем якобы пришло от сотрудника протокольного отдела посольства США с приглашением на празднование Дня независимости. Другие письма были оформлены от имени европейских дипломатов или рекламировали международные форумы. Поддельные документы создавались на разных языках — корейском, английском, русском, французском, арабском и персидском.
Применявшийся хакерами троян XenoRAT обладает расширенными возможностями, включая дистанционное управление компьютером, запись нажатий клавиш, а также доступ к камере и микрофону. После установки вредоносное ПО собирало данные о системе и передавало их через платформу GitHub, чтобы обойти средства обнаружения. Кроме того, для размещения вредоносных файлов злоумышленники использовали Dropbox, Google Drive и южнокорейский сервис Daum.
Группировка Kimsuky действует как минимум с 2012 года и известна атаками на правительства, исследовательские центры, СМИ и научные организации в Азии, Европе, США, Японии и России. В 2023 году США и их союзники в Тихоокеанском регионе ввели санкции против этой хакерской структуры, обвинив ее в сборе разведданных для нужд внешней политики Северной Кореи и в попытках обхода международных ограничений.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet