Утечка данных Kimsuky выявила 8,9 ГБ предполагаемых северокорейских APT-инструментов и украденных записей
Сегодня двое хакеров слили 8,9 ГБ дампа, который, по их словам, поступил от северокорейской APT-группы Kimsuky, раскрыв логи фишинга, наборы инструментов, исходный код и возможные данные кампании
Два хакера утверждают, что похитили внутренние файлы северокорейской государственной APT-группы Kimsuky и выложили в открытый доступ около 8,9 ГБ данных. Они, используя псевдонимы Saber и cyb0rg , опубликовали адрес на Phrack и опубликовали фрагмент того, что, по их словам, является бэкендом Kimsuky. Материалы были опубликованы в архиве Distributed Denial of Secrets.
Кто берет на себя ответственность и почему были опубликованы данные Кимсуки
Оба осведомителя назвали свои действия этичными. В сообщении, опубликованном в журнале Phrack на конференции DEF CON 33, они написали:
«Кимсуки, ты не хакер. Тобой движет финансовая жадность, желание обогатить своих лидеров и реализовать их политические планы».
Они заявили, что не согласны с мотивами Кимсуки, и опубликовали файлы, раскрывающие инструменты группы и украденные данные.
Что содержится в утекшем архиве (важные предметы и индикаторы)
Сообщается, что дамп содержит код, фишинговые ресурсы, логи и полезные данные. Ключевыми элементами, описанными осведомителями, являются:
- Журналы фишинга, показывающие несколько учетных записей электронной почты dcc.mil.kr (Командование контрразведки Министерства обороны США).
- Целевые списки и домены включают spo.go.kr , korea.kr , daum.net , kakao.com и naver.com .
- Сообщается, что архив
.7zсодержит полный исходный код веб-платформы электронной почты Министерства иностранных дел Южной Кореи («Kebi»), включая модули веб-почты, администрирования и архивирования. - Ссылки на удостоверения граждан Южной Кореи и тщательно отобранные списки профессоров университетов.
- Набор инструментов PHP «Генератор», используемый для создания фишинговых сайтов с приемами обхода обнаружения и перенаправления, а также наборы для фишинга в режиме реального времени.
- Двоичные архивы и исполняемые файлы (например,
voS9AyMZ.tar.gz,Black.x64.tar.gz,payload.bin), не помеченные VirusTotal. - Загрузчики Cobalt Strike, обратные оболочки и прокси-модули Onnara, восстановленные из кэша перетаскивания VMware.
- Истории Chrome и файлы конфигураций, ссылающиеся на подозрительные аккаунты GitHub, покупки VPN через Google Pay и частые посещения хакерских форумов.
- Доказательства использования Google Translate для сообщений об ошибках на китайском языке и посещения сайтов правительства и армии Тайваня.
- История Bash, показывающая SSH-подключения к внутренним системам.
Авторы утечки отмечают, что некоторые материалы дублируют ранее опубликованные. Они утверждают, что эта информация добавляет новые связи между инструментами, инфраструктурой и прошлыми кампаниями.
Журналисты по безопасности обратились к исследователям для проверки файлов. Аналитики изучают материалы, чтобы подтвердить их подлинность и ценность. Согласно имеющимся на данный момент данным, утечка может содержать сведения о ранее неизвестных кампаниях и незадокументированных взломах.
Хотя утечка, возможно, и не положит конец деятельности Кимсуки, она может нарушить активную инфраструктуру и вынудить группировку сменить инструменты и методы работы. Эти файлы также могут предоставить правозащитникам новые индикаторы для обнаружения.
Подробности публикации
Отрывок был опубликован в последнем выпуске журнала Phrack и доступен через архив Distributed Denial of Secrets. Выпуск Phrack был выпущен ограниченным тиражом на конференции DEF CON 33, и ожидается, что вскоре появится и онлайн-версия.
About The Author
