Группа, известная под названием Кимсуки, вызвала новый всплеск обсуждений вокруг кибербезопасности, применив инструменты генеративного ИИ, такие как
Фальшивые ID карты сотрудников южнокорейских военных, созданные с помощью простых и эффективных команд, выдавались за настоящие. Фишинговые письма выглядели как официальные письма от южнокорейских оборонных институтов. Внутри архивов "Government_ID_Draft.zip" располагались файлы-ярлыки (.lnk), способные запускать замаскированные команды, используя cmd.exe для создания сложных скриптов
Методы атаки и защита
Соединения с сервером команд и управления, размещенного на jiwooeng.co[.]kr, подтверждают успешность атак на компрометированные системы. Инструменты, такие как
После задержки в 7 секунд выполнялись сценарии, включая поддельное обновление HncUpdateTray.exe, основанное на AutoIt. Скрипты использовали шифрование, схожее с шифром Виженера, чтобы скрыть свои действия. В рамках кампании использовались старые тактики "ClickFix", в том числе вредоносные архивы CAB, полученные с компрометированных доменов, и скрытные загрузчики на Python.
Документированные атаки демонстрируют слабые места традиционных антивирусов, которые не справляются с сильно замаскированными командами и AI-сгенерированным социальным инженерингом. Рекомендуется использовать системы обнаружения и реагирования на конечных точках (EDR) для мониторинга подозрительных нагрузок, скрытых скриптов PowerShell и цепочек выполнения AutoIt в подозрительных сценариях.
Genians Security Center показал успешное предотвращение этих вторжений, подчёркивая значимость мониторинга на основе поведения для нейтрализации уловок с применением ИИ. Показатели компрометации по-прежнему остаются важными в стратегии противодействия современным киберугрозам.
