Північнокорейський кластер Konni розширив арсенал, поєднавши фішингові ланцюжки в KakaoTalk із використанням Google Find Hub (раніше Find My Device) для дистанційного визначення місцеперебування та віддаленого скидання Android до заводських налаштувань. За даними Genians, атаки фокусуються на користувачах у Південній Кореї та реалізуються без задіяння експлойтів — за рахунок викрадення облікових даних і зловживання легітимними функціями екосистеми Google.
Вектор компрометації: KakaoTalk, підписані інсталятори та модульні RAT
Зловмисники маскуються під державні установи (податкова, поліція тощо) і надсилають жертвам підписані MSI або ZIP-архіви. Після запуску спрацьовують два скрипти: VBS показує правдоподібну «мовну помилку», відволікаючи користувача, тоді як BAT впроваджує AutoIT-скрипт, закріплює його через Планувальник завдань і встановлює з’єднання з C2. Далі завантажуються модулі RemcosRAT, QuasarRAT і RftRAT, які забезпечують приховане керування, ексфільтрацію та крадіжку облікових даних.
Захоплення акаунтів і зловживання Google Find Hub
Після первинного проникнення інструменти Konni викрадають логіни й паролі до Google та Naver, входять у профілі жертв, змінюють налаштування безпеки та стирають артефакти злому. Отримавши доступ до Google-акаунта, зловмисники активують Find Hub для перегляду геолокації, блокування пристрою або повного очищення даних. Дослідники фіксують, що момент стирання часто обирається тоді, коли власник поза домом, що ускладнює реагування та відновлення.
Перетин із Kimsuky та APT37: еволюція від шпигунства до деструкції
За профілем цілей та інфраструктурою активність Konni корелює з групами Kimsuky (Emerald Sleet) і APT37 (ScarCruft), які традиційно працюють проти освітніх і держустанов, а також криптовалютних компаній. Якщо раніше переважали приховані операції зі збору даних через RAT, нинішня кампанія демонструє зсув до деструктивних технік — блокування та стирання мобільних пристроїв, що перешкоджає форензіці та відновленню.
Цільова соціальна інженерія: кейс від 5 вересня 2025
Genians описує інцидент із компрометацією акаунта консультанта, який допомагає північнокорейським біженцям. Використавши довіру до його профілю в KakaoTalk, нападники надіслали студенту-біженцю файл під виглядом «антистрес-програми». Після зараження ПК нападники ініціювали скидання смартфона до заводських налаштувань і продовжили розсилку шкідливих вкладень контактам жертви, зберігши доступ до десктопної сесії мессенджера.
Навіщо стирати смартфони: ізоляція, приховування та глушіння сигналів
Віддалене очищення даних дає нападникам кілька переваг: ізоляцію жертви від каналів комунікації та перевірки безпекових подій, видалення слідів компрометації, затримку відновлення доступу до акаунтів і блокування push-сповіщень про підозрілу активність. Представники Google підтверджують, що уразливості в Android або Find Hub не експлуатувалися — критичною умовою успіху є попереднє захоплення ПК і крадіжка облікових даних.
TTP-аналіз: легітимні сервіси як зброя (living off the land)
Кампанія демонструє зрілу тактику living off the land у хмарному контексті: замість нульових днів — монетизація штатних можливостей Google. Такі дії важче детектувати сигнатурними механізмами й блокувати на рівні індикаторів, адже вони схожі на законні операції власника акаунта (зміна налаштувань, використання Find My Device).
Практичні заходи захисту для користувачів і організацій
Користувачам
Увімкніть MFA (перевага за passkeys або FIDO-ключами), регулярно перевіряйте активні сесії та прив’язані пристрої у Google-акаунті, обмежте автозапуск MSI/VBS/BAT/AutoIT на ПК, не відкривайте вкладення з месенджерів від «держустанов». У Find My Device перегляньте методи відновлення й відв’яжіть непотрібні сесії.
Організаціям
Розгорніть EDR із контролем виконання скриптів, політики блокування MSI з недовірених джерел, моніторинг входів до Google Workspace/Naver з гео- та поведінковою аналітикою, умовний доступ і обов’язкові MFA/passkeys. Додайте сповіщення про дії Find My Device (де підтримується) і автоматизуйте відкликання сесій у разі виявлення RAT.
Кейс Konni наочно показує: компрометація одного ПК може запустити ланцюг наслідків на мобільних пристроях без жодних «нульових днів». Посилюйте автентифікацію, застосовуйте passkeys, дотримуйтеся гігієни роботи з файлами та жорстких політик виконання скриптів, а також регулярно проводьте навчання з протидії фішингу. Такі кроки суттєво знижують шанси на успіх кампаній, що зловживають легітимними сервісами на кшталт Google Find Hub.
