Группа кибершпионов APT37, предположительно спонсируемая государством, активно увеличивает свою деятельность в Южной Корее. Используя сложные кибератаки, они применяют вредоносные файлы HWP и LNK для проникновения в системы жертв. В этой статье мы рассмотрим их тактики, методы и последствия таких атак.
Основные тактики группы APT37
Операции APT37 зачастую начинаются с фишинга, что позволяет им внедряться в сети жертв и пытаться закрепиться в них, прежде чем осуществлять дальнейшие атаки. Среди ключевых направлений риска можно выделить:
- Скрытый фишинг;
- Атаки на водопои;
- Атаки на цепочки поставок программного обеспечения;
- Тактика социальных сетей;
- Схемы аутсорсинга на основе фрилансеров.
Путь внедрения вредоносного ПО
Особое внимание привлекает конкретный инцидент, связанный с отправкой вредоносных файлов в групповые чаты K Messenger. Файлы были следующими:
- Документ HWP, содержащий объект OLE;
- Сжатый файл LNK с командой PowerShell.
Первоначальное проникновение часто осуществлялось через фальшивые электронные письма, якобы отправленные из законных источников, таких как Корейский институт аэрокосмических исследований.
Эволюция вредоносных файлов
Вредоносные файлы HWP претерпели эволюцию: от использования эксплойтов, присущих формату документа, к внедрению OLE-объектов. После активации такие файлы маскируются для избежания обнаружения обычными системами безопасности, включая антивирусное ПО. В частности, файлы LNK притворяются обычными документами с вводящими в заблуждение значками.
Риски и последствия для безопасности
Эти атаки могут привести к установке вредоносного ПО, такого как RoKRAT, что в свою очередь позволяет собирать конфиденциальную информацию и осуществлять удаленный доступ к системе жертвы. Анализ показал, что RoKRAT работает, выполняя команды без использования файлов через PowerShell, что позволяет избегать обнаружения. Основные характеристики этого вредоносного ПО включают:
- Выполнение команд в памяти;
- Взаимодействие с удаленными серверами через API;
- Постоянная кража информации и установка дополнительного вредоносного ПО.
Рекомендации по защите
Учитывая тактики, используемые APT37, становится очевидным, что группа систематически обходит существующие меры безопасности. В ответ на это рекомендуется внедрение следующих решений:
- Расширенные возможности обнаружения, ориентированные на поведение терминала;
- Мониторинг аномалий в режиме реального времени;
- Системы EDR для эффективного выявления TTP (тактики, методы и процедуры).
В свете того, что сложность и частота атак APT37 продолжают возрастать, данные меры имеют критическую важность для защиты организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT37: Изощренные кибератаки на Южную Корею".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.