Հյուսիսային Կորեայի հաքերներն իրենց հարձակումներում չարաշահում են Facebook Messenger-ը

Հյուսիսային Կորեայի հաքերներն իրենց հարձակումներում չարաշահում են Facebook Messenger-ը

Հյուսիսային Կորեայի հովանավորությամբ գործող «Kimsuky» հաքերային խմբին նոր հարձակումների շարք է վերագրվել, որի շրջանակում կանխամտածված օգտագործվել է Facebook-ի օգտահաշիվների Messenger-ը։ Malware–ների տարածման համար այն շատ նպատակային միջոց է համարվում։

«Հաքերը մուտք է գործել Facebook-ի օգտահաշիվ կեղծ ինքնությամբ՝ հանդես գալով որպես պետական պաշտոնյա, ով աշխատում է Հյուսիսային Կորեայի մարդու իրավունքների պաշտպանության նախարարությունում», – ասվում է հարավկորեական կիբերանվտանգության Genians ընկերության զեկույցում։

Հարձակման արշավը նախատեսված է թիրախավորելու Հյուսիսային Կորեայի մարդու իրավունքների դեմ ուղղված ակտիվիստներին:

Հարձակումը դադարեցնելու նպատակով կիրառվում են ոչ ստանդարտ փաստաթղթերի տեսակներ։ Բացահայտումից խուսափելու համար փաստաթուղթը հաջողությամբ քողարկվել է որպես  Word file սովորական թվացող ֆայլ։

Երբ թիրախային նշանակետում գտնվող օգտատերը գործարկի MSC ֆայլը և բաց անի այն Microsoft Management Console-ի (MMC) միջոցով, նրան կցուցադրվի պաստառ, որը պարունակում է Word փաստաթուղթ։ Ինչն էլ գործարկելիս ակտիվացնում է հարձակման հաջորդականությունը:

Հավաքված տեղեկատվությունը այնուհետև արտահանվում է command-and-control (C2) սերվեր, որը նաև ի վիճակի է հավաքագրել IP հասցեները, User-Agent–ը և HTTP request–ները։

Genians-ի մարտավարության համաձայն, կիրառված տեխնիկան ու TTP–երն համընկնում են Kimsuky-ի նախկին գործունեության հետ, ինչն էլ նպաստում է ReconShark malware ծրագրի տարածմանը։

«Իրենց յուրատիպ կառուցվածքով պայմանավորված դրանք հեշտությամբ չեն հայտնաբերվում և հազվադեպ են նկատվում արտաքին գործոններից։ Հետևաբար, շատ կարևոր է դրանց շուտ հայտնաբերումն ու կանխումը»:

 

Աղբյուրը՝  https://thehackernews.com/