- дата публікації
Група, підтримувана Північною Кореєю, захопила Find Hub Google у кампанії з крадіжки облікових даних
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Північнокорейська хакерська група Konni виявила новий тип атак, які вперше використовують функцію відстеження активів Find Hub від Google.
Атаки націлені на пристрої Android і Windows з метою викрадення даних та отримання віддаленого доступу. Активність, виявлена на початку вересня 2025 року, показала, що ці атаки можуть експлуатувати сервіси відстеження активів Google, що призводить до несанкціонованого видалення особистих даних. Атакуючі надсилають таргетовані фішингові електронні листи, щоб отримати доступ до комп'ютерів жертв.
Вони використовують сеанси чату KakaoTalk, щоб надсилати шкідливі файли у вигляді ZIP-архіву своїм контактам. У технічному звіті Центру безпеки Genians зазначено, що нападники маскуються під психологічних консультантів та правозахисників Північної Кореї, розповсюджуючи шкідливе ПЗ, яке видається за програми для зняття стресу. Згідно з розслідуваннями, фішингові електронні листи здаються легітимними, наприклад, від Національної податкової служби.
Це обманює користувачів відкривати шкідливі вкладення, які містять трояни для віддаленого доступу, такі як Lilith RAT. Зловмисники можуть залишатися непоміченими в скомпрометованому комп'ютері понад рік, шпигуючи через веб-камеру та керуючи системою, коли користувач відсутній.
Хакери крадуть облікові дані Google та Naver жертв, а після отримання паролів входять у Find Hub і видаляють пристрої віддалено. Вони використовують шкідливий MSI-пакет під назвою "Stress Clear.msi", що містить законний підпис, наданий китайській компанії.
Коли програма активується, запускається скрипт VBScript, який відображає фейкове повідомлення про помилку, поки шкідливі команди виконуються у фоновому режимі. Ця атака є продовженням кампанії Konni APT, пов'язаної з групами Kimsuky та APT 37, підтримуваними північнокорейським урядом.
У той же час виявлено, що група Lazarus використовує оновлену версію шкідливого ПЗ Comebacker для атак на оборонні компанії, маскуючи документи під виглядом кореспонденції від Airbus та інших організацій. На фоні цього, за даними Cryptopolitan, другий заступник міністра закордонних справ Південної Кореї Кім Джі-на оголосила про намір запровадити санкції проти Північної Кореї у зв'язку з активною криптовалютною злочинністю, зазначивши, що співпраця зі США є критично важливою.