У червні 2025 року кібербезпекова спільнота була стривожена. Член відомої північнокорейської хакерської групи Kimsuky APT став жертвою масового витоку даних, що розкрив сотні гігабайтів чутливих внутрішніх файлів, інструментів та оперативних деталей.
Згідно з експертами з безпеки з Slow Mist, витеклі дані включали історії браузера, докладні журнали фішингових кампаній, інструкції для користувацьких бекдорів та систем атак, таких як бекдор ядра TomCat, модифіковані маяки Cobalt Strike, експлойт Ivanti RootRot та шкідливе ПЗ для Android, таке як Toybox.
Дві зламані системи та хакер "КІМ"
Порушення було пов'язане з двома скомпрометованими системами, що експлуатуються особою, відомою як "KIM" – одна з них була робочою станцією розробника Linux (Deepin 20.9), а інша – публічно доступним VPS сервером.
Система Linux, ймовірно, використовувалася для розробки шкідливого програмного забезпечення, тоді як VPS хостив фішингові матеріали, підроблені портали для входу та інфраструктуру командного управління (C2).
Злиття було здійснено хакерами, які називають себе "Saber" та "cyb0rg", які стверджували, що вкрали та опублікували вміст обох систем. Хоча деякі докази пов'язують "KIM" з відомою інфраструктурою Kimsuky, лінгвістичні та технічні показники також вказують на можливий зв'язок з Китаєм, залишаючи справжнє походження невизначеним.
Довга історія кібер-шпигунства
Kimsuky активний принаймні з 2012 року і пов'язаний з Генеральним управлінням розвідки, основним розвідувальним агентством Північної Кореї. Він давно спеціалізується на кібер-шпигунстві, націленому на уряди, аналітичні центри, оборонні підрядники та академічні установи.
У 2025 році його кампанії – такі як DEEP#DRIVE – покладалися на багатоступеневі ланцюги атак. Вони зазвичай починалися з ZIP-архівів, що містили файли ярликів LNK, масковані під документи, які, при відкритті, виконували команди PowerShell для завантаження шкідливих вантажів з хмарних сервісів, таких як Dropbox, використовуючи підроблені документи для вигляду легітимності.
Сучасні техніки та інструменти
Навесні 2025 року Kimsuky розгорнув комбінацію VBScript і PowerShell, приховану всередині ZIP-архівів, щоб:
Записувати натискання клавішВикрадати дані з буфера обмінуЗбирати ключі криптовалютних гаманців з браузерів (Chrome, Edge, Firefox, Naver Whale)
Зловмисники також поєднали шкідливі файли LNK з VBScripts, які виконували mshta.exe для завантаження шкідливого ПЗ на основі DLL безпосередньо в пам'ять. Вони використовували власні модулі RDP Wrapper та проксі-шкідливе ПЗ для забезпечення таємного віддаленого доступу.
Програми, такі як forceCopy, витягували облікові дані з файлів конфігурації браузера, не активуючи стандартні сповіщення про доступ до паролів.
Використання довірених платформ
Kimsuky зловживав популярними хмарними та кодовими платформами. У кампанії таргетованого фішингу в червні 2025 року, що націлювалася на Південну Корею, приватні репозиторії GitHub використовувалися для зберігання шкідливого ПЗ та вкрадених даних.
Доставляючи шкідливе програмне забезпечення та викрадаючи файли через Dropbox і GitHub, група змогла приховати свою діяльність у легітимному мережевому трафіку.
Залишайтеся на крок попереду – підписуйтесь на наш профіль і будьте в курсі всього важливого у світі криптовалют!
Увага:
,,Інформація та погляди, представлені в цій статті, призначені виключно для освітніх цілей і не повинні розглядатися як інвестиційна порада в будь-якій ситуації. Зміст цих сторінок не слід вважати фінансовою, інвестиційною чи будь-якою іншою формою поради. Ми попереджаємо, що інвестування в криптовалюти може бути ризикованим і може призвести до фінансових втрат.“
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Північнокорейський Кімсукі викритий через масовий витік даних
У червні 2025 року кібербезпекова спільнота була стривожена. Член відомої північнокорейської хакерської групи Kimsuky APT став жертвою масового витоку даних, що розкрив сотні гігабайтів чутливих внутрішніх файлів, інструментів та оперативних деталей. Згідно з експертами з безпеки з Slow Mist, витеклі дані включали історії браузера, докладні журнали фішингових кампаній, інструкції для користувацьких бекдорів та систем атак, таких як бекдор ядра TomCat, модифіковані маяки Cobalt Strike, експлойт Ivanti RootRot та шкідливе ПЗ для Android, таке як Toybox.
Дві зламані системи та хакер "КІМ" Порушення було пов'язане з двома скомпрометованими системами, що експлуатуються особою, відомою як "KIM" – одна з них була робочою станцією розробника Linux (Deepin 20.9), а інша – публічно доступним VPS сервером.
Система Linux, ймовірно, використовувалася для розробки шкідливого програмного забезпечення, тоді як VPS хостив фішингові матеріали, підроблені портали для входу та інфраструктуру командного управління (C2). Злиття було здійснено хакерами, які називають себе "Saber" та "cyb0rg", які стверджували, що вкрали та опублікували вміст обох систем. Хоча деякі докази пов'язують "KIM" з відомою інфраструктурою Kimsuky, лінгвістичні та технічні показники також вказують на можливий зв'язок з Китаєм, залишаючи справжнє походження невизначеним.
Довга історія кібер-шпигунства Kimsuky активний принаймні з 2012 року і пов'язаний з Генеральним управлінням розвідки, основним розвідувальним агентством Північної Кореї. Він давно спеціалізується на кібер-шпигунстві, націленому на уряди, аналітичні центри, оборонні підрядники та академічні установи. У 2025 році його кампанії – такі як DEEP#DRIVE – покладалися на багатоступеневі ланцюги атак. Вони зазвичай починалися з ZIP-архівів, що містили файли ярликів LNK, масковані під документи, які, при відкритті, виконували команди PowerShell для завантаження шкідливих вантажів з хмарних сервісів, таких як Dropbox, використовуючи підроблені документи для вигляду легітимності.
Сучасні техніки та інструменти Навесні 2025 року Kimsuky розгорнув комбінацію VBScript і PowerShell, приховану всередині ZIP-архівів, щоб: Записувати натискання клавішВикрадати дані з буфера обмінуЗбирати ключі криптовалютних гаманців з браузерів (Chrome, Edge, Firefox, Naver Whale) Зловмисники також поєднали шкідливі файли LNK з VBScripts, які виконували mshta.exe для завантаження шкідливого ПЗ на основі DLL безпосередньо в пам'ять. Вони використовували власні модулі RDP Wrapper та проксі-шкідливе ПЗ для забезпечення таємного віддаленого доступу. Програми, такі як forceCopy, витягували облікові дані з файлів конфігурації браузера, не активуючи стандартні сповіщення про доступ до паролів.
Використання довірених платформ Kimsuky зловживав популярними хмарними та кодовими платформами. У кампанії таргетованого фішингу в червні 2025 року, що націлювалася на Південну Корею, приватні репозиторії GitHub використовувалися для зберігання шкідливого ПЗ та вкрадених даних.
Доставляючи шкідливе програмне забезпечення та викрадаючи файли через Dropbox і GitHub, група змогла приховати свою діяльність у легітимному мережевому трафіку.
#NorthKoreaHackers , #кібератаки , #CyberSecurity , #фішинг-шахрайство , #світові новини
Залишайтеся на крок попереду – підписуйтесь на наш профіль і будьте в курсі всього важливого у світі криптовалют! Увага: ,,Інформація та погляди, представлені в цій статті, призначені виключно для освітніх цілей і не повинні розглядатися як інвестиційна порада в будь-якій ситуації. Зміст цих сторінок не слід вважати фінансовою, інвестиційною чи будь-якою іншою формою поради. Ми попереджаємо, що інвестування в криптовалюти може бути ризикованим і може призвести до фінансових втрат.“