Հյուսիսային Կորեայի հովանավորությամբ գործող «Kimsuky» հաքերային խմբին նոր հարձակումների շարք է վերագրվել, որի շրջանակում կանխամտածված օգտագործվել է Facebook-ի օգտահաշիվների Messenger-ը։ Malware–ների տարածման համար այն շատ նպատակային միջոց է համարվում։
«Հաքերը մուտք է գործել Facebook-ի օգտահաշիվ կեղծ ինքնությամբ՝ հանդես գալով որպես պետական պաշտոնյա, ով աշխատում է Հյուսիսային Կորեայի մարդու իրավունքների պաշտպանության նախարարությունում», – ասվում է հարավկորեական կիբերանվտանգության Genians ընկերության զեկույցում։
Հարձակման արշավը նախատեսված է թիրախավորելու Հյուսիսային Կորեայի մարդու իրավունքների դեմ ուղղված ակտիվիստներին:
Հարձակումը դադարեցնելու նպատակով կիրառվում են ոչ ստանդարտ փաստաթղթերի տեսակներ։ Բացահայտումից խուսափելու համար փաստաթուղթը հաջողությամբ քողարկվել է որպես Word file սովորական թվացող ֆայլ։
Երբ թիրախային նշանակետում գտնվող օգտատերը գործարկի MSC ֆայլը և բաց անի այն Microsoft Management Console-ի (MMC) միջոցով, նրան կցուցադրվի պաստառ, որը պարունակում է Word փաստաթուղթ։ Ինչն էլ գործարկելիս ակտիվացնում է հարձակման հաջորդականությունը:
Հավաքված տեղեկատվությունը այնուհետև արտահանվում է command-and-control (C2) սերվեր, որը նաև ի վիճակի է հավաքագրել IP հասցեները, User-Agent–ը և HTTP request–ները։
Genians-ի մարտավարության համաձայն, կիրառված տեխնիկան ու TTP–երն համընկնում են Kimsuky-ի նախկին գործունեության հետ, ինչն էլ նպաստում է ReconShark malware ծրագրի տարածմանը։
«Իրենց յուրատիպ կառուցվածքով պայմանավորված դրանք հեշտությամբ չեն հայտնաբերվում և հազվադեպ են նկատվում արտաքին գործոններից։ Հետևաբար, շատ կարևոր է դրանց շուտ հայտնաբերումն ու կանխումը»:
Աղբյուրը՝ https://thehackernews.com/
