Северокорейская хакерская группа Kimsuky продолжает развивать свою активность, используя всё более сложные методы для обхода систем безопасности. С 2018 года вредоносная кампания группы под кодовым названием BabyShark демонстрирует постоянную эволюцию: если раньше злоумышленники применяли HWP и BAT-файлы для распространения вредоносного кода, то теперь они перешли к использованию файлов Microsoft Management Console (MSC) и запуска зловредного кода с помощью программы VbsEdit.
Основная угроза кроется в том, что MSC-файлы, которые обычно используются для системного администрирования, стали инструментом для распространения вредоносного ПО. После запуска такого файла пользователю предлагается нажать кнопку «Открыть», что активирует вредоносные команды через командную строку (CMD). Эти команды загружают вредоносное ПО с удалённых серверов и сохраняют его под видом обычных файлов, например, документов Google.
Особое внимание исследователей из компании Hauri привлёк случай, когда загруженный документ содержал информацию о конкретных северокорейских перебежчиках, что свидетельствует о целенаправленной атаке. Злоумышленники также используют VBS-скрипты, которые после запуска с помощью VbsEdit подключаются к
Источник: SecurityLab