BabyShark: эволюция вредоносной кампании Kimsuky напоминает голливудский триллер

Безопасный VPN через Телеграмм – обойди все блокировки:

Как VbsEdit помогает хакерам обойти традиционные средства обнаружения вредоносного кода.

Северокорейская хакерская группа Kimsuky продолжает развивать свою активность, используя всё более сложные методы для обхода систем безопасности. С 2018 года вредоносная кампания группы под кодовым названием BabyShark демонстрирует постоянную эволюцию: если раньше злоумышленники применяли HWP и BAT-файлы для распространения вредоносного кода, то теперь они перешли к использованию файлов Microsoft Management Console (MSC) и запуска зловредного кода с помощью программы VbsEdit.

Основная угроза кроется в том, что MSC-файлы, которые обычно используются для системного администрирования, стали инструментом для распространения вредоносного ПО. После запуска такого файла пользователю предлагается нажать кнопку «Открыть», что активирует вредоносные команды через командную строку (CMD). Эти команды загружают вредоносное ПО с удалённых серверов и сохраняют его под видом обычных файлов, например, документов Google.

Купи VPN в России за минуту через наш Телеграмм-бот:

Особое внимание исследователей из компании Hauri привлёк случай, когда загруженный документ содержал информацию о конкретных северокорейских перебежчиках, что свидетельствует о целенаправленной атаке. Злоумышленники также используют VBS-скрипты, которые после запуска с помощью VbsEdit подключаются к C2-серверам для загрузки и выполнения дополнительных вредоносных программ.

Атаки Kimsuky стали ещё более изощренными благодаря использованию программного обеспечения для разработки скриптов VbsEdit, что позволяет злоумышленникам избежать стандартных средств обнаружения, таких как «wscript.exe» и «cscript.exe». Использование программы VbsEdit для выполнения вредоносного кода затрудняет его обнаружение традиционными антивирусами.

Отдельного внимания заслуживает способ сохранения и выполнения вредоносного ПО. Файлы, скачанные с C2-серверов, маскируются под безобидные XML или VBS-файлы и затем регистрируются в планировщике задач Windows для запуска в строго определённое время. В некоторых случаях загрузка дополнительного вредоносного ПО происходит через зашифрованные команды, что затрудняет их анализ и обнаружение.

  196884: Как теория струн раскрыла тайны монстра

С учётом сложности и целенаправленности атак, эксперты по безопасности Hauri настоятельно рекомендуют организациям усилить меры по защите своих систем, особенно обращая внимание на подозрительную активность в планировщике задач и любые несанкционированные изменения в системных файлах.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх