Национальный центр кибербезопасности Южной Кореи (NCSC) предупреждает, что хакеры, поддерживаемые государством Северной Кореи, использовали уязвимости в обновлениях программного обеспечения VPN для внедрения вредоносного ПО и взлома сетей.
В этом предупреждении деятельность хакеров связывается с общенациональным проектом модернизации промышленных фабрик, который президент Ким Чен Ын объявил в январе 2023 года. Считается, что хакеры пытаются украсть торговые секреты у Южной Кореи.
Два угрозных актора, связанных с этой деятельностью, — это группы Kimsuky (APT43) и Andariel (APT45), спонсируемые государством и ранее связывавшиеся с печально известной группой Lazarus.
«Информационное сообщество приписывает эти хакерские действия организациям Kimsuky и Andariel, действующим под эгидой северокорейского Управления разведки, отмечая беспрецедентный характер атаки на один и тот же сектор одновременно для достижения конкретных политических целей», предупреждает NCSC.
Троянизированные обновления и установочные файлы
В первом случае, описанном в консультативном документе, датированном январем 2024 года, группа Kimsuky скомпрометировала веб-сайт южнокорейской строительной организации, чтобы распространять вредоносное ПО среди посетителей.
Согласно отчету ASEC от февраля, при попытке сотрудников войти на сайт организации, им предлагалось установить необходимое программное обеспечение безопасности под названием «NX_PRNMAN» или «TrustPKI.»
Эти троянизированные установочные файлы были подписаны действительным сертификатом от корейской оборонной компании «D2Innovation», что позволяло им обходить антивирусные проверки.
После установки троянизированного ПО также устанавливалось вредоносное ПО, которое делало скриншоты, похищало данные, хранящиеся в браузерах (учетные данные, куки, закладки, историю), а также крало сертификаты GPKI, SSH-ключи, заметки Sticky Notes и данные FileZilla.
Эта кампания заразила системы южнокорейских строительных компаний, государственных учреждений и местных органов власти.
Второй случай произошел в апреле 2024 года, когда, по данным NCSC, группа Andariel использовала уязвимость в протоколе связи отечественного VPN-программного обеспечения для распространения поддельных обновлений, которые устанавливали вредоносное ПО DoraRAT.
«В апреле 2024 года группа Andariel использовала уязвимости в отечественном программном обеспечении безопасности (VPN и серверной безопасности), чтобы заменить файлы обновлений на вредоносное ПО, распространяя удаленное контрольное ПО под названием DoraRAT среди строительных и машиностроительных компаний», объясняет машинный перевод консультативного документа NCSC.
По данным NCSC, уязвимость позволила хакерам подменять пакеты данных на ПК пользователей, которые ошибочно идентифицировали их как легитимные обновления серверов, что позволило установить вредоносные версии.
NCSC
По данным NCSC, уязвимость позволила хакерам подменять пакеты данных на ПК пользователей, которые ошибочно идентифицировали их как легитимные обновления серверов, что позволило установить вредоносные версии.
DoraRAT — это легкий троян удаленного доступа (RAT) с минимальной функциональностью, что позволяет ему работать более скрытно.
Вариант, использованный в этой атаке, был настроен на кражу крупных файлов, таких как проектные документы машин и оборудования, и их эксфильтрацию на сервер управления и контроля злоумышленников.
NCSC рекомендует операторам веб-сайтов, подверженных риску атак со стороны государственных хакеров, запросить проверку безопасности у Корейского агентства интернет-безопасности (KISA).
Кроме того, vpnРоссия рекомендует внедрять строгие политики одобрения распространения программного обеспечения и требовать аутентификации администратора на заключительном этапе распространения.
Другие общие советы включают своевременное обновление программного обеспечения и операционных систем, постоянное обучение сотрудников вопросам безопасности и мониторинг правительственных консультативных документов по кибербезопасности для быстрого выявления и предотвращения новых угроз.
В аналогичной активности китайская хакерская группа взломала интернет-провайдера, чтобы подменить DNS-записи и таким образом автоматические обновления легитимного ПО устанавливали вредоносное ПО.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.