В июне 2025 года сообщество по кибербезопасности было потрясено. Член известной северокорейской хакерской группы Kimsuky APT стал жертвой масштабной утечки данных, в результате которой были раскрыты сотни гигабайт конфиденциальных внутренних файлов, инструментов и оперативных деталей.
Согласно экспертам по безопасности из Slow Mist, утечка данных включала в себя истории браузера, подробные журналы фишинговых кампаний, инструкции по созданию пользовательских бэкдоров и систем атак, таких как бэкдор ядра TomCat, модифицированные маяки Cobalt Strike, эксплойт Ivanti RootRot и вредоносное ПО для Android, такое как Toybox.
Две скомпрометированные системы и хакер "KIM"
Нарушение было связано с двумя скомпрометированными системами, управляемыми лицом, известным как "KIM" – одна из них была рабочей станцией разработчика Linux (Deepin 20.9), а другая – общедоступным VPS-сервером.
Система Linux, вероятно, использовалась для разработки вредоносного ПО, в то время как VPS размещал материалы для фишинга, поддельные страницы входа и инфраструктуру командного управления (C2).
Утечка была осуществлена хакерами, идентифицировавшими себя как «Saber» и «cyb0rg», которые заявили, что украли и опубликовали содержимое обеих систем. Хотя некоторые доказательства связывают «KIM» с известной инфраструктурой Kimsuky, лингвистические и технические индикаторы также предполагают возможную связь с Китаем, оставляя истинное происхождение неясным.
Долгая история кибершпионажа
Kimsuky активен как минимум с 2012 года и связан с Генеральным управлением разведки, главной разведывательной службой Северной Кореи. Он долгое время специализируется на кибершпионаже, нацеливаясь на правительства, аналитические центры, оборонные подрядчики и академические учреждения.
В 2025 году его кампании – такие как DEEP#DRIVE – полагались на многоступенчатые цепочки атак. Обычно они начинались с ZIP-архивов, содержащих файлы ярлыков LNK, замаскированные под документы, которые, при открытии, выполняли команды PowerShell для загрузки вредоносных payload с облачных сервисов, таких как Dropbox, используя поддельные документы для создания видимости легитимности.
Расширенные техники и инструменты
Весной 2025 года Kimsuky развернул смесь VBScript и PowerShell, скрытую внутри ZIP-архивов, чтобы:
Записывать нажатия клавишСобрать данные из буфера обменаСобирать ключи криптовалютных кошельков из браузеров (Chrome, Edge, Firefox, Naver Whale)
Злоумышленники также сочетали вредоносные файлы LNK с VBScripts, которые выполняли mshta.exe для загрузки DLL-вредоносного ПО непосредственно в память. Они использовали пользовательские модули RDP Wrapper и прокси-вредоносное ПО для обеспечения скрытого удаленного доступа.
Программы, такие как forceCopy, извлекали учетные данные из файлов конфигурации браузера, не вызывая стандартных уведомлений о доступе к паролям.
Эксплуатация доверенных платформ
Группа Kimsuky использовала популярные облачные и кодовые хостинг-платформы. В кампании целенаправленной фишинга в июне 2025 года, нацеленной на Южную Корею, частные репозитории GitHub использовались для хранения вредоносного ПО и украденных данных.
Путем доставки вредоносного ПО и эксфильтрации файлов через Dropbox и GitHub группа смогла скрыть свою деятельность в легитимном сетевом трафике.
Будьте на шаг впереди – следите за нашим профилем и будьте в курсе всего важного в мире криптовалют!
Уведомление:
,,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны восприниматься как инвестиционные советы в любой ситуации. Содержимое этих страниц не должно рассматриваться как финансовый, инвестиционный или какой-либо другой вид совета. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Северокорейская группа Kimsuky раскрыта из-за массовой утечки данных
В июне 2025 года сообщество по кибербезопасности было потрясено. Член известной северокорейской хакерской группы Kimsuky APT стал жертвой масштабной утечки данных, в результате которой были раскрыты сотни гигабайт конфиденциальных внутренних файлов, инструментов и оперативных деталей. Согласно экспертам по безопасности из Slow Mist, утечка данных включала в себя истории браузера, подробные журналы фишинговых кампаний, инструкции по созданию пользовательских бэкдоров и систем атак, таких как бэкдор ядра TomCat, модифицированные маяки Cobalt Strike, эксплойт Ivanti RootRot и вредоносное ПО для Android, такое как Toybox.
Две скомпрометированные системы и хакер "KIM" Нарушение было связано с двумя скомпрометированными системами, управляемыми лицом, известным как "KIM" – одна из них была рабочей станцией разработчика Linux (Deepin 20.9), а другая – общедоступным VPS-сервером.
Система Linux, вероятно, использовалась для разработки вредоносного ПО, в то время как VPS размещал материалы для фишинга, поддельные страницы входа и инфраструктуру командного управления (C2). Утечка была осуществлена хакерами, идентифицировавшими себя как «Saber» и «cyb0rg», которые заявили, что украли и опубликовали содержимое обеих систем. Хотя некоторые доказательства связывают «KIM» с известной инфраструктурой Kimsuky, лингвистические и технические индикаторы также предполагают возможную связь с Китаем, оставляя истинное происхождение неясным.
Долгая история кибершпионажа Kimsuky активен как минимум с 2012 года и связан с Генеральным управлением разведки, главной разведывательной службой Северной Кореи. Он долгое время специализируется на кибершпионаже, нацеливаясь на правительства, аналитические центры, оборонные подрядчики и академические учреждения. В 2025 году его кампании – такие как DEEP#DRIVE – полагались на многоступенчатые цепочки атак. Обычно они начинались с ZIP-архивов, содержащих файлы ярлыков LNK, замаскированные под документы, которые, при открытии, выполняли команды PowerShell для загрузки вредоносных payload с облачных сервисов, таких как Dropbox, используя поддельные документы для создания видимости легитимности.
Расширенные техники и инструменты Весной 2025 года Kimsuky развернул смесь VBScript и PowerShell, скрытую внутри ZIP-архивов, чтобы: Записывать нажатия клавишСобрать данные из буфера обменаСобирать ключи криптовалютных кошельков из браузеров (Chrome, Edge, Firefox, Naver Whale) Злоумышленники также сочетали вредоносные файлы LNK с VBScripts, которые выполняли mshta.exe для загрузки DLL-вредоносного ПО непосредственно в память. Они использовали пользовательские модули RDP Wrapper и прокси-вредоносное ПО для обеспечения скрытого удаленного доступа. Программы, такие как forceCopy, извлекали учетные данные из файлов конфигурации браузера, не вызывая стандартных уведомлений о доступе к паролям.
Эксплуатация доверенных платформ Группа Kimsuky использовала популярные облачные и кодовые хостинг-платформы. В кампании целенаправленной фишинга в июне 2025 года, нацеленной на Южную Корею, частные репозитории GitHub использовались для хранения вредоносного ПО и украденных данных.
Путем доставки вредоносного ПО и эксфильтрации файлов через Dropbox и GitHub группа смогла скрыть свою деятельность в легитимном сетевом трафике.
#NorthKoreaHackers , #кибератаки, #CyberSecurity , #фишинг-мошенничество, #мировые новости
Будьте на шаг впереди – следите за нашим профилем и будьте в курсе всего важного в мире криптовалют! Уведомление: ,,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны восприниматься как инвестиционные советы в любой ситуации. Содержимое этих страниц не должно рассматриваться как финансовый, инвестиционный или какой-либо другой вид совета. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“