Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс

Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Государственные хакеры вступают в новую эпоху атак с вымогательскими вирусами.

Эксперты из Unit 42 выяснили, что хакерская группа Jumpy Pisces, имеющая связи с разведкой Северной Кореи, теперь объединилась с группой, занимающейся распространением программы-вымогателя Play (Fiddling Scorpius).

Ранее Jumpy Pisces (Andariel, Onyx Sleet) была известна как группа кибершпионов, но теперь, похоже, она начала помогать киберпреступникам в распространении вирусов, используемых для вымогательства. Это первая зафиксированная кооперация между северокорейскими хакерами и иностранной кибергруппой, работающей с программами-вымогателями.

Расследование конкретного случая показало, что впервые хакеры получили доступ к атакованной сети в мае 2024 года, используя скомпрометированный аккаунт сотрудника компании. Доступ позволил Jumpy Pisces постепенно заразить другие компьютеры сети, распространяя через них вирусы Sliver и DTrack. Группировка использовала данные инструменты для слежки и контроля над сетью на протяжении нескольких месяцев, скрывая свои действия. Основная атака началась в сентябре 2024 года, когда группа запустила в сети программу-вымогатель Play, чтобы заблокировать данные компании и требовать за них выкуп.

Первичные признаки атаки появились, когда через взломанный аккаунт хакеры вошли в сеть и начали распространять вредоносные файлы. Эксперты отметили, что хакеры использовали специальный инструмент для кражи паролей. Через этот доступ они загружали вредоносное ПО на разные устройства компании, используя для передачи файлов сетевые протоколы. После этого программы DTrack и Sliver начали связываться с управляющим сервером, контролируемым хакерами, что позволяло группе оставаться в сети и управлять зараженными компьютерами.

С наступлением сентября действия хакеров стали более интенсивными. В этот период они удалили с компьютеров программное обеспечение для защиты от кибератак и установили инструменты для сбора паролей и повышения своих привилегий в сети. Всё это подготовило почву для запуска программы-вымогателя Play. Помимо известных инструментов, хакеры использовали собственное вредоносное ПО, которое помогало собирать данные о банковских картах и истории интернет-браузеров пользователей.

Специалисты уверены, что Jumpy Pisces и Play действовали скоординированно, так как использовался один и тот же взломанный аккаунт и схожие техники для распространения вирусов и дальнейшего контроля сети. Примечательно, что злоумышленники использовали поддельные сертификаты, которые помогли маскировать вредоносные файлы под легальные, что позволяло избежать обнаружения.

Остаётся открытым вопрос, действительно ли Jumpy Pisces официально сотрудничает с Play, или же северокорейская группа просто продала доступ к сети для атаки. Play работает как RaaS-программа. То есть доходы от выкупов делятся между операторами вируса и их партнёрами. Иногда хакеры, которые взламывают сети, и те, кто активирует вирус, могут быть разными. Подобную тактику раньше использовала группа Evil Corp, которая меняла названия своих программ после введения санкций, чтобы продолжать атаки. Так же действуют и иранские хакеры.

Если Play не является RaaS-программой, то, скорее всего, Jumpy Pisces была лишь посредником. Однако такое сотрудничество указывает на рост активности северокорейских хакеров в сфере вымогательских атак. Теперь КНДР может угрожать не только кибершпионажем, но и более разрушительными атаками на компании и организации по всему миру.


Распечатать
25 июля 2025 Совет Безопасности ООН соберется в связи с обострением конфликта между Таиландом и Камбоджей
25 июля 2025 Более 40 стран ОБСЕ потребовали провести расследование пыток пленных в России
25 июля 2025 Бывшего депутата Владимира Плахотнюка арестовали в аэропорту Греции с фальшивыми документами
25 июля 2025 В Киеве задержали администратора криминального киберфорума, заработавшего свыше 7 миллионов евро
24 июля 2025 Восстановлена цепочка событий крушения Ан-24 в Амурской области
24 июля 2025 Фамилия Трамп часто встречается в материалах по делу Джеффри Эпштейна
24 июля 2025 Шаг к тоталитаризму: власти начнут составлять профили «неблагонадежных» подростков по всей России
24 июля 2025 США обвинили ЕС в ущемлении свободы слова из-за критики действий властей
24 июля 2025 На топливный терминал в Сириусе было совершено нападение с применением беспилотных летательных аппаратов
24 июля 2025 На приграничной территории между Таиландом и Камбоджей произошли столкновения
24 июля 2025 В Самарской области мужчине выплатили 80 тысяч рублей за четыре года тюремного заключения по подложному обвинению
24 июля 2025 Николая Симоненко, заместителя губернатора Брянской области, арестовали за хищение средств при строительстве оборонных объектов
24 июля 2025 Представлен список участников экипажа разбившегося Ан-24
24 июля 2025 Россия временно приостановила загрузку нефтяных танкеров в черноморских портах
24 июля 2025 Схема по выводу денег через офшоры и обманутые инвесторы: как Freedom Finance Тимура Турлова превратилась в «отмывочную пирамиду»
24 июля 2025 Бандитская схема обналички в Москва-Сити: ФНС раскрыла махинации Аль-Кетби с применением "National Pulse"
24 июля 2025 В интернете появились видео полёта Ан-24, который потерпел крушение в Амурской области
24 июля 2025 Россия атаковала Одессу с большим размахом
24 июля 2025 Заместитель руководителя уголовного розыска Кубани Армен Арутюнян организовал группу фальсификаторов, которая действует под прикрытием правосудия
24 июля 2025 Китайская компания тайно поставляет моторы для беспилотников «Гарпия-А1» в Россию