Группа APT-C-28, также известная как ScarCruft или APT37, представляет собой сложную организацию киберпреступников, которая с 2012 года активно занимается целенаправленными атаками на Южную Корею и другие страны Восточной Азии. Ее основная цель — кража конфиденциальных данных, связанных с военными, политическими и экономическими аспектами.
Методы и инструменты APT-C-28
APT-C-28 делает акцент на ключевых отраслях промышленности, таких как:
- Химическая промышленность
- Электроника
- Аэрокосмическая промышленность
- Автомобилестроение
- Здравоохранение
- Обрабатывающая промышленность
Ключевым инструментом, используемым данной группой, является RokRat — облачный троян удаленного доступа (RAT), который активно используется не менее с 2016 года. Этот вредоносный софт позволяет злоумышленникам выполнять следующие действия:
- Проникать в сети жертв
- Извлекать критически важную информацию
- Вести долгосрочное наблюдение за объектами атак
Технологии внедрения
Методы внедрения APT-C-28 включают создание настраиваемых фишинговых электронных писем с использованием информации, полученной с легитимных веб-сайтов. В частности, группа использует файлы LNK, использующие методы безфайлового внедрения вредоносного ПО. Порядок действий выглядит следующим образом:
- Получение жертвой фишингового письма с файлом LNK.
- Взаимодействие с файлом приводит к расшифровке вредоносного кода, зашифрованного с использованием алгоритма XOR.
- Загрузка и запуск RokRat с использованием PowerShell для извлечения дополнительных файлов.
Кампания APT-C-28 часто нацелена на организации, связанные с Северной Кореей, и на протяжении времени адаптирует свои методы атаки. Например, недавние разработки показывают, что группа отказалась от использования облачных сервисов для передачи зашифрованных данных в пользу внедрения этих данных непосредственно в вредоносные файлы LNK.
Новые изменения в RokRat
Версия RokRat 2024 года сохраняет архитектурное сходство с предыдущими версиями, но демонстрирует значительные изменения в стратегии атаки. В частности, она маскирует свой пользовательский агент под Googlebot во время общения, что подчеркивает адаптивность и изощренность методов APT-C-28.
Рекомендации по защите
Для снижения угрозы, поступающей от APT-C-28 и RokRat, эксперты рекомендуют:
- Повышение уровня осведомленности сотрудников о кибербезопасности
- Обучение распознаванию фишинга и вредоносных вложений
- Внедрение систем фильтрации электронной почты
- Регулярное сканирование системы на наличие угроз
- Поддержание актуальности антивирусной защиты
- Ограничение прав пользователей на выполнение файлов LNK
- Применение строгого контроля доступа
Непрерывный мониторинг и сбор разведданных о APT-C-28 и RokRat будут иметь решающее значение для разработки успешных стратегий обороны.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT-C-28: Угрозы и новые методы атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.