Северокорейская группировка «Конни» использует Google Find Hub для кражи учетных данных пользователей

Северокорейская хакерская группа Konni обнаружила новый набор атак, которые впервые используют функцию tracактивов Google Find Hub. Атаки нацелены как на устройства Android, так и на устройства Windows с целью кражи данных и получения удаленного управления.

Обнаруженная в начале сентября 2025 года активность показала, что атаки могут использовать уязвимости сервиса tracактивов Google Find Hub, что приводит к несанкционированному удалению персональных данных. 

Взлом начинается с цепочки атак, в ходе которой Konni рассылает целевые фишинговые электронные письма жертвам, чтобы получить доступ к их компьютерам. Затем они используют сеансы чата KakaoTalk, в которые вошли жертвы, для отправки вредоносных программ их контактам в виде ZIP-архива.

В техническом отчете Центра безопасности Genians (GSC) говорится: «Злоумышленники выдавали себя за психологов и северокорейских правозащитников, распространяя вредоносное ПО, замаскированное под программы для снятия стресса» 

Южнокорейская группа по кибербезопасности заявляет, что вредоносное ПО предназначено для операций, ориентированных на Корею

По данным следователей, фишинговые электронные письма, рассылаемые с целью переадресации вредоносного трафика, выглядят так, будто отправлены от имени легитимных компаний, таких как Национальная налоговая служба. Этот трюк обманывает пользователей, заставляя их открывать вредоносные вложения, содержащие трояны удаленного доступа, такие как Lilith RAT, которые могут получить контроль над скомпрометированными компьютерами и отправить дополнительные вредоносные программы.

Злоумышленник может оставаться незамеченным на взломанном компьютере более года, шпионя через веб-камеру и управляя системой в отсутствие пользователя. Компания GSC заявила: «В этом процессе доступ, полученный во время первоначального вторжения, позволяет осуществлять управление системой и собирать дополнительную информацию, в то время как тактика уклонения позволяет оставаться незамеченным в течение длительного времени».

Хакеры могут украстьdentданные аккаунтов Google и Naver жертвы. Получив доступ к украденным паролям Google, хакеры используют их для входа в Google Find Hub и удаленного удаления данных с устройств.

Например, эти хакеры вошли в резервную учетную запись электронной почты, зарегистрированную в Naver, и удалили письма с предупреждениями безопасности от Google. Кроме того, они очистили папку «Корзина» во входящих сообщениях, чтобы скрыть свои trac.

Хакеры также используют ZIP-файл. Он распространяется через приложение для обмена сообщениями и содержит вредоносный установочный пакет Microsoft (MSI) под названием «Stress Clear.msi». Этот пакет использует легальную подпись, предоставленную китайской компании, для подтверждения внешнего вида приложения. После запуска он использует пакетный скрипт для выполнения базовой настройки. 

Затем запускается скрипт Visual Basic (VBScript), который отображает поддельное сообщение об ошибке, связанной с проблемой совместимости языкового пакета, в то время как вредоносные команды выполняются в фоновом режиме. 

Вредоносная программа в некотором смысле похожа на Lilith RAT, но получила кодовое название EndRAT (также известное как EndClient RAT по классификации исследователя безопасности Ови Либера) из-за выявленныхdent.

Генианс заявил, что участники APT-атаки Konni также использовали скрипт AutoIt для запуска трояна Remcos версии 7.0.4, который был публично обнародован 10 сентября 2025 года группой, ответственной за его поддержку. Теперь хакеры используют более новые версии трояна в своих атаках. На целевых устройствах также были обнаружены Quasar RAT и RftRAT, еще один троян, использованный Kimsuky в 2023 году.

Южнокорейская компания, специализирующаяся на кибербезопасности, заявила: «Это говорит о том, что вредоносное ПО разработано специально для операций в Корее, и что получение соответствующих данных и проведение углубленного анализа требует значительных усилий»

Усилия хакеров, поддерживаемых Северной Кореей, растут 

Эта атака defiявляется продолжением кампании APT Konni, которая связана с группами Kimsuky и APT 37, поддерживаемыми правительством Северной Кореи. 

Одновременно с этим ENKI сообщила, что группа Lazarus использовала обновленную версию вредоносного ПО Comebacker в атаках на оборонные и аэрокосмические компании, используя специально созданные документы Microsoft Word в качестве приманки в рамках шпионской операции. Они утверждают, что представляют Airbus, Edge Group и Индийский технологический институт Канпура, чтобы обмануть людей.

Между тем, как сообщает Cryptopolitan Cryptopolitanчто Южная Корея рассматривает возможность введения санкций против Северной Кореи из-за разгула преступлений, связанных с криптовалютами, и что сотрудничество с США имеет решающее значение.