10.11.2025
1 хв
490
Північнокорейське угруповання, пов’язане з кластером KONNI, почало використовувати легітимний сервіс Google Find Hub (колишній Find My Device), щоб відстежувати жертв за GPS і примусово скидати їхні Android-смартфони до заводських налаштувань. Атаки б’ють переважно по мешканцях Південної Кореї, а ключ до всього — викрадені облікові записи Google, отримані через цілеспрямований фішинг і RAT-шкідники.
Кампанія стартує з таргетованих повідомлень у месенджері KakaoTalk, де зловмисники прикидаються представниками податкової, поліції чи інших держорганів і надсилають жертві архів із «офіційним документом». Усередині — цифрово підписаний MSI-інсталятор, який запускає BAT-файл та скрипт error.vbs із фальшивою помилкою «language pack», щоб відвернути увагу користувача. Насправді BAT підтягує AutoIT-скрипт, що створює заплановане завдання для закріплення в системі, тягне з C2 додаткові модулі й відкриває повноцінний віддалений доступ із кейлогером.
Подальші завантажені корисні навантаження — RemcosRAT, QuasarRAT та RftRAT — збирають логіни й паролі до Google і Naver. Отримавши ці облікові записи, атакери входять у пошту, змінюють налаштування безпеки та прибирають сліди компрометації.
Наступний крок — перехід у Google Find Hub з уже вкраденого профілю. Через консоль «знайти пристрій» зловмисники бачать усі прив’язані Android-девайси, можуть запитати їхню геолокацію, заблокувати або стерти. У задокументованому випадку нападники відстежили момент, коли цільовий користувач був поза домом, і кілька разів поспіль запуска́ли віддалений factory reset для всіх зареєстрованих смартфонів, повністю видаливши критичні дані та ускладнивши відновлення. Після цього, вже не боячись push-сповіщень на телефон, вони використали активну десктопну сесію KakaoTalk на зараженому ПК, щоб розіслати нові шкідливі файли контактам жертви. KONNI — це шкідливе ПЗ віддаленого доступу, яке раніше пов’язували з двома північнокорейськими APT-групами: APT37 (ScarCruft) та Kimsuky (Emerald Sleet). Вони роками атакують урядові структури, освітні установи та криптоіндустрію, орієнтуючись на шпигунство й фінансову вигоду.
Google Find Hub, у свою чергу, — стандартний сервіс Android для пошуку й дистанційного блокування/стирання пристрою у випадку втрати або крадіжки. У коментарі BleepingComputer компанія наголошує: жодної уразливості в Android чи Find Hub не експлуатують — зловмисники просто крадуть облікові дані й зловживають легальними функціями. Google знову закликає користувачів увімкнути двофакторну автентифікацію або passkeys, а для особливо ризикових акаунтів — записатися в Advanced Protection Program.
Ця історія показує класичну «ланку атаки»: фішинг → зараження ПК → крадіжка облікових даних → зловживання хмарним сервісом → повне знищення даних і подальша розсилка шкідливих файлів від імені жертви. Захист будується навколо декількох базових кроків: обов’язкова MFA на Google-акаунтах, швидкий доступ до резервного e-mail/телефону, недовіра до вкладень навіть у «офіційних» листах чи повідомленнях у месенджері, а також окремий контроль за активністю KakaoTalk та інших десктопних клієнтів. Якщо ви працюєте з високоризиковою аудиторією — політика мінімальних прав на робочих станціях, EDR і регулярна перевірка журналів доступу до облікових записів стають не рекомендацією, а обов’язковою гігієною.
