Kimsuky JavaScript dropper elemzése
A Pulsedive blogján közzétett technikai elemzés részletesen vizsgálja a Kimsuky APT csoport által használt JavaScript-alapú droppereket, amelyek a fertőzési lánc első lépéseként szolgálnak. A Kimsuky, amely észak-koreai állami támogatással működő kiberbűnözői csoportként ismert, célzott támadások során használja ezt a technikát, hogy a célgépekre további kártevő komponenseket juttasson be.
Az elemzés szerint a JavaScript-dropper első lépésben egy látszólag ártalmatlan, gyakran legitimnek tűnő fájlt vagy scriptet tölt le a célgépre, amely aztán további, káros kódot tölt le és futtat. A dropperek általában a hálózati forgalmat és a rendszerhívásokat rejtve, nehéz észrevehető módon kommunikálnak a C2 szerverekkel, így a hagyományos védekezési eszközök nehezen érzékelik őket. A Pulsedive kutatói kiemelik, hogy a Kimsuky által használt dropperek nem csak technikailag fejlettek, hanem a támadók folyamatosan fejlesztik és módosítják őket, hogy elkerüljék a felfedezést és a biztonsági megoldások blokkolását.
A fertőzési lánc során a dropper általában több szakaszban tölt le és futtat kódot, és a végső cél a célszemély adatainak ellopása, a rendszer lehallgatása, vagy akár további kártevők telepítése. A Pulsedive elemzése szerint a Kimsuky csoport által használt JavaScript-dropperek jellemzően a következő lépéseket követik, a célgépre való bejutás, a további kártevők letöltése és telepítése, majd a kommunikáció a C2 szerverrel a további parancsokért. A kiberbűnözők egyre inkább olyan eszközöket használnak, amelyek nehezen észrevehetők, és a hagyományos antivírus vagy tűzfal megoldások nem mindig képesek felismerni őket, ezért a védekezésben fontosabbá válik a viselkedésalapú elemzés és a hálózati forgalom folyamatos monitorozása.
