Аналитический центр AhnLab Security Intelligence Center (ASEC) ранее анализировал атаки группы Kimsuky, использующей бэкдор PebbleDash и собственную разработку RDP Wrapper. Группа продолжает использовать эти методы атак, и в этом посте рассмотрены дополнительные вредоносные программы, которые были выявлены в новых инцидентах.
Рисунок 1. Процесс PowerShell, устанавливающий загрузчик PebbleDash
Для справки: RDP Wrapper — это утилита с открытым исходным кодом, активирующая функцию удаленного рабочего стола на версиях Windows, которые не поддерживают эту функцию. Злоумышленники используют модификацию RDP Wrapper, созданную ими, и подозревается, что они разрабатывают функции экспорта для обхода систем обнаружения файлов.
Рисунок 2. Функции экспорта самодельного RDP Wrapper
С помощью PebbleDash и RDP Wrapper злоумышленники получают контроль над зараженной системой, но также используют разнообразное вредоносное ПО, включая Proxy, KeyLogger и программы для кражи данных. В этом посте рассматриваются недавно выявленные типы вредоносных программ.
В предыдущих атаках использовались три основных типа proxy-инструментов. Первый из них характеризуется созданием мьютекса "MYLPROJECT" и был выявлен с загрузчиком, который читает конфигурационный файл в жестко заданном пути, например "C:\Programdata\USOShared2\version.ini", и использует эти данные для запуска proxy-инструмента. Второй тип также создает мьютекс "LPROXYMUTEX", но остальная функциональность остается типичной для proxy-инструментов. Третий тип — это инструмент revsocks на языке Go, доступный на GitHub.
Недавно были выявлены новые proxy-инструменты, которые используют следующие мьютексы и принимают адреса в качестве аргументов для своей работы.
Рисунок 3. Proxy-инструмент, похожий на предыдущие
Рисунок 4. Файл с логами клавиш
Группа Kimsuky использует инструмент, который извлекает только ключевые значения из файла "Local State" вместо прямого кражи учетных данных из браузера. Это, вероятно, сделано для обхода средств безопасности, и извлеченные ключи используются для дальнейшей кражи данных.
Недавно был обнаружен тип malware под названием "forceCopy", предназначенный для копирования файлов. Он принимает путь к файлу как первый аргумент и путь для сохранения копии — как второй. Особенность этого вредоносного ПО заключается в использовании библиотеки NTFS Parser для чтения файлов, а не стандартных API, таких как ReadFile().
Рисунок 5. Библиотека NTFS Parser, встроенная в malware
Все пути установки malware относятся к папкам установки веб-браузеров. Это может быть попыткой обойти ограничения в определенных средах и украсть конфигурационные файлы браузеров, в которых хранятся учетные данные.
Помимо вредоносных программ в виде исполнимых файлов, был также идентифицирован ReflectiveLoader среди PowerShell-скриптов. Этот скрипт обфусцирован, но представляет собой открытый исходный код PowerShell-скрипта под названием "Invoke-ReflectivePEInjection.ps1". Он устанавливается вместе с другими PowerShell-скриптами в директории "%ALLUSERSPROFILE%\USOShared\Prosd".
Рисунок 6. PowerShell-скрипт ReflectiveLoader
Группа Kimsuky продолжает проводить атаки spear-phishing против пользователей из Кореи. Они в основном распространяют malware, маскирующееся под документ, прикрепленный к электронным письмам. При открытии этого файла злоумышленники могут взять под контроль систему. Пользователи должны тщательно проверять отправителя письма и избегать открытия файлов от неизвестных источников. Также следует своевременно устанавливать обновления для операционной системы и веб-браузеров и обновлять AhnLab V3 до последней версии для предотвращения заражений.
Обнаруженные файлы:
1. Обзор
Злоумышленники распространяют ярлыки (*.LNK), содержащие вредоносные команды, через атаки типа spear-phishing. Названия файлов, включающие имена и компании, указывают на то, что угроза может быть направлена на конкретные цели. Вредоносные ярлыки маскируются под документы с иконками Office, такими как PDF, Excel или Word. При запуске файла исполняется PowerShell или Mshta, что позволяет загрузить и выполнить дополнительные вредоносные программы с внешних источников. В конечном итоге выполняются PebbleDash и RDP Wrapper, однако нет значительных отличий от предыдущих атак.Рисунок 1. Процесс PowerShell, устанавливающий загрузчик PebbleDash
Для справки: RDP Wrapper — это утилита с открытым исходным кодом, активирующая функцию удаленного рабочего стола на версиях Windows, которые не поддерживают эту функцию. Злоумышленники используют модификацию RDP Wrapper, созданную ими, и подозревается, что они разрабатывают функции экспорта для обхода систем обнаружения файлов.
Рисунок 2. Функции экспорта самодельного RDP Wrapper
С помощью PebbleDash и RDP Wrapper злоумышленники получают контроль над зараженной системой, но также используют разнообразное вредоносное ПО, включая Proxy, KeyLogger и программы для кражи данных. В этом посте рассматриваются недавно выявленные типы вредоносных программ.
2. Proxy
Даже если служба RDP активирована и учетная запись пользователя добавлена, доступ к зараженной системе может быть невозможен, если она находится в частной сети. Для решения этой проблемы злоумышленники устанавливают proxy-малварь, которая служит промежуточным звеном между зараженной системой и внешней сетью, что позволяет им подключаться к системе через RDP.В предыдущих атаках использовались три основных типа proxy-инструментов. Первый из них характеризуется созданием мьютекса "MYLPROJECT" и был выявлен с загрузчиком, который читает конфигурационный файл в жестко заданном пути, например "C:\Programdata\USOShared2\version.ini", и использует эти данные для запуска proxy-инструмента. Второй тип также создает мьютекс "LPROXYMUTEX", но остальная функциональность остается типичной для proxy-инструментов. Третий тип — это инструмент revsocks на языке Go, доступный на GitHub.
Недавно были выявлены новые proxy-инструменты, которые используют следующие мьютексы и принимают адреса в качестве аргументов для своей работы.
Рисунок 3. Proxy-инструмент, похожий на предыдущие
3. KeyLogger
Группа Kimsuky использует PowerShell-скрипты для ведения логов, а также устанавливает исполнимые файлы для этой цели. В предыдущих случаях данные о нажатиях клавиш сохранялись в файлы "CursorCach.tmp" и "CursorCache.db" в директории "%LOCALAPPDATA%". В недавно обнаруженных случаях данные сохраняются в "C:\Programdata\joeLog.txt" и "C:\Programdata\jLog.txt".Рисунок 4. Файл с логами клавиш
4. Кража данных из веб-браузеров (forceCopy)
Ранее использовалась инфостиллер-программа для кражи учетных данных, сохраненных в браузерах на основе Chromium и Internet Explorer. Недавние случаи подтверждают использование подобных инструментов.Группа Kimsuky использует инструмент, который извлекает только ключевые значения из файла "Local State" вместо прямого кражи учетных данных из браузера. Это, вероятно, сделано для обхода средств безопасности, и извлеченные ключи используются для дальнейшей кражи данных.
Недавно был обнаружен тип malware под названием "forceCopy", предназначенный для копирования файлов. Он принимает путь к файлу как первый аргумент и путь для сохранения копии — как второй. Особенность этого вредоносного ПО заключается в использовании библиотеки NTFS Parser для чтения файлов, а не стандартных API, таких как ReadFile().
Рисунок 5. Библиотека NTFS Parser, встроенная в malware
Все пути установки malware относятся к папкам установки веб-браузеров. Это может быть попыткой обойти ограничения в определенных средах и украсть конфигурационные файлы браузеров, в которых хранятся учетные данные.
5. Загрузчики и инжекторы
Одним из новых типов malware является инжектор и загрузчик. Эти инструменты отличаются от предыдущих случаев. Загрузчик загружает файл из пути "%SystemDirectory%\wbemback.dat" в память, а инжектор получает информацию о целевом процессе для инъекции в качестве аргумента.Помимо вредоносных программ в виде исполнимых файлов, был также идентифицирован ReflectiveLoader среди PowerShell-скриптов. Этот скрипт обфусцирован, но представляет собой открытый исходный код PowerShell-скрипта под названием "Invoke-ReflectivePEInjection.ps1". Он устанавливается вместе с другими PowerShell-скриптами в директории "%ALLUSERSPROFILE%\USOShared\Prosd".
Рисунок 6. PowerShell-скрипт ReflectiveLoader
6. Заключение
В 2024 году методы атак группы Kimsuky претерпели изменения. Несмотря на то что использование LNK-вредоносных файлов в атаках типа spear-phishing на этапе первоначального взлома осталось прежним, группа все чаще использует инструменты, такие как RDP Wrapper и Proxy, для удаленного контроля зараженных систем вместо установки бэкдоров.Группа Kimsuky продолжает проводить атаки spear-phishing против пользователей из Кореи. Они в основном распространяют malware, маскирующееся под документ, прикрепленный к электронным письмам. При открытии этого файла злоумышленники могут взять под контроль систему. Пользователи должны тщательно проверять отправителя письма и избегать открытия файлов от неизвестных источников. Также следует своевременно устанавливать обновления для операционной системы и веб-браузеров и обновлять AhnLab V3 до последней версии для предотвращения заражений.
Обнаруженные файлы:
- Backdoor/Win.PebbleDash.C5719351 (20.01.2025)
- Trojan/Win.Rdpwrap.C5704469 (10.12.2024)
- Trojan/Win.Rdpwrap.C5708551 (21.12.2024)
- Trojan/Win.Rdpwrap.C5710893 (27.12.2024)
- Trojan/Win.Rdpwrap.C5716647 (12.01.2025)
- Trojan/Win.Rdpwrap.C5719870 (21.01.2025)
- Trojan/Win.Rdpwrap.C5720371 (23.01.2025)
- Trojan/Win.KeyLogger.C5687683 (27.10.2024)
- Trojan/Win.KeyLogger.C5705213 (12.12.2024)
- Trojan/Win.KeyLogger.C5705571 (13.12.2024)
- Trojan/Win.Injecter.C5705214 (12.12.2024)
- Trojan/Win.UACMe.C5705215 (12.12.2024)
- Trojan/Win.Loader.C5716648 (12.01.2025)
- Infostealer/Win.Browser.R641029 (23.03.2024)
- Malware/Gen.Generic.C2950389 (22.01.2019)
- Trojan/Win.Agent.C5687684 (27.10.2024)
- Trojan/PowerShell.Loader (31.01.2025)
- Trojan/PowerShell.Launcher (31.01.2025)
- Trojan/PowerShell.KeyLogger (31.01.2025)
