Атаки в основном направлены на южнокорейцев и начинаются с установления контакта с потенциальными жертвами через мессенджер KakaoTalk — самое популярное приложение для обмена мгновенными сообщениями в стране.
Южнокорейская компания Genians, занимающаяся решениями в области кибербезопасности, связывает эту вредоносную деятельность с кластером KONNI, который "имеет пересекающиеся цели и инфраструктуру с Kimsuky и APT37."
KONNI обычно связан с инструментом удаленного доступа, который использовался в атаках северокорейских хакеров из групп APT37 (ScarCruft) и Kimsuky (Emerald Sleet), нацеленных на различные секторы (например, образование, государственные учреждения и криптовалюту).
По данным Genians, в рамках кампании KONNI компьютеры заражаются троянами удаленного доступа, которые позволяют похищать конфиденциальные данные.
Стирание данных с устройств Android осуществляется с целью изолировать жертв, удалить следы атаки, замедлить восстановление и заглушить предупреждения системы безопасности. В частности, сброс настроек отключает жертв от сеансов KakaoTalk на ПК, которые злоумышленники захватывают после стирания данных, чтобы распространить вирус среди контактов своих целей.
Цепочка заражения
Кампания KONNI, проанализированная Genians, нацелена на жертв с помощью фишинговых сообщений, которые подделывают Национальную налоговую службу Южной Кореи, полицию и другие агентства.
Как только жертва запускает MSI с цифровой подписью (или ZIP-архив, который содержит его), файл вызывает встроенный скрипт install.bat и error.vbs, используемый в качестве приманки, чтобы ввести пользователя в заблуждение с помощью поддельной “ошибки языкового пакета.”
BAT запускает скрипт AutoIT (IoKITr.au3), который устанавливает постоянное закрепление на устройстве через запланированную задачу. Скрипт загружает дополнительные модули из точки управления (C2) и предоставляет злоумышленникам удаленный доступ, кейлоггинг и дополнительные возможности для внедрения полезной нагрузки.
Genians сообщает, что вторичные полезные нагрузки, извлеченные скриптом, включают RemcosRAT, QuasarRAT и RftRAT.
Эти инструменты используются для сбора учетных данных учетных записей Google и Naver жертвы, что позволяет им входить в почту Gmail и Naver целей, изменять настройки безопасности и удалять журналы, показывающие компрометацию.
Использование Find Hub для сброса настроек устройств
Из взломанной учетной записи Google злоумышленник открывает Google Find Hub, чтобы найти зарегистрированные устройства Android и запросить их GPS-координаты.
Find Hub — это стандартный инструмент Android “Найти мое устройство,” позволяющий пользователям удаленно определять местонахождение, блокировать или даже стирать данные с устройств Android в случае их потери или кражи.
Криминалистический анализ нескольких компьютерных систем жертв, проведенный Genians, показал, что злоумышленник стер данные с устройства жертвы с помощью команды удаленной перезагрузки Find Hub.
"Расследование показало, что утром 5 сентября злоумышленник взломал и использовал учетную запись KakaoTalk южнокорейского консультанта, специализирующегося на психологической поддержке молодых беженцев из Северной Кореи, и отправил вредоносный файл, замаскированный под “программу снятия стресса,” реальному студенту-беженцу," — говорят исследователи Genians.
Исследователи утверждают, что хакеры использовали функцию GPS-слежения, чтобы выбрать время, когда их цель находилась вне дома и не могла оперативно отреагировать на ситуацию.
Во время атаки злоумышленник запустил команды удаленного сброса на всех зарегистрированных устройствах Android. Это привело к полному удалению важных данных. Злоумышленник трижды выполнил команды удаления, что сделало невозможным восстановление и использование устройств в течение длительного периода времени.
После нейтрализации мобильных оповещений злоумышленник использовал сеанс KakaoTalk на уже взломанном компьютере жертвы, чтобы распространить вредоносные файлы среди ее контактов.
15 сентября Genians заметил еще одну атаку на другого пользователя, в которой был использован тот же метод.
Чтобы блокировать такие атаки, рекомендуется защитить учетные записи Google, включив многофакторную аутентификацию и обеспечив быстрый доступ к учетной записи для восстановления.
При получении файлов в мессенджерах всегда старайтесь проверить личность отправителя, позвонив ему напрямую, прежде чем загружать/открывать файлы.
Отчет Genians включает технический анализ использованного вредоносного ПО, а также список индикаторов компрометации (IoC), связанных с расследуемой деятельностью.
Представитель Google дал BleepingComputer следующий комментарий по поводу вышесказанного.
"Эта атака не использовала никаких уязвимостей в Android или Find Hub. В отчете указано, что для этой целевой атаки требовалось наличие вредоносного ПО на ПК, чтобы украсть учетные данные учетной записи Google и злоупотребить законными функциями Find Hub (ранее Find My Device). Мы настоятельно рекомендуем всем пользователям включить двухэтапную аутентификацию или пароли-пасскеи для комплексной защиты от кражи учетных данных. Пользователям, подверженным повышенной видимости или целевым атакам, мы рекомендуем зарегистрироваться в нашей программе расширенной защиты, чтобы обеспечить максимальный уровень безопасности учетной записи Google." — Представитель Google.