Изощренные кибератаки Velvet Chollima APT против Южной Кореи: новый уровень социальной инженерии
В мае 2025 года эксперт по кибербезопасности Абдулрехман Али опубликовал подробный отчет, раскрывающий масштаб и технологии современных киберопераций, связанных с северокорейской группировкой Velvet Chollima APT. Целью атак были южнокорейские чиновники, крупные международные НПО и СМИ. В основе расследования лежат данные Microsoft Threat Intelligence и Bleeping Computer.
Суть угрозы: скрытый фишинг и новая тактика социальной инженерии
С начала 2025 года группа Velvet Chollima APT осуществляет серию сложных атак с использованием методов скрытого фишинга. Их главная цель — обманом заставить жертв взаимодействовать с вредоносным контентом, который в конечном итоге обеспечивает удаленный контроль над системами.
Механика атаки выглядит следующим образом:
- Рассылка специально сгенерированных электронных писем с вложениями PDF;
- При открытии PDF пользователь направляется на поддельную страницу с капчей;
- Внедрение новой тактики социальной инженерии, получившей название “ClickFix”;
- Поддельная капча побуждает жертву запускать вредоносные команды PowerShell от имени администратора;
- Вредоносная команда автоматически копируется в буфер обмена, упрощая выполнение жертвой;
- В результате создается обратная оболочка, соединяющая устройство с сервером управления (C2) злоумышленников.
Технические детали атаки и ее последствия
После выполнения команды жертвой злоумышленники получают мощный удаленный доступ, который позволяет им:
- выполнять команды на скомпрометированной машине;
- извлекать конфиденциальную информацию;
- встраивать дополнительные вредоносные программы;
- захватывать корпоративные сети, если устройство подключено к рабочей инфраструктуре.
Для обеспечения долговременного контроля злоумышленники также модифицируют реестр Windows. В частности, они добавляют ключ запуска, который гарантирует автоматический запуск вредоносных команд при загрузке системы, что делает удаленный доступ устойчивым даже после перезагрузки компьютера.
Риски и меры противодействия
Данная кампания демонстрирует высокую эффективность комбинации социальной инженерии и технических эксплойтов. Основные уязвимости здесь связаны с человеческим фактором — злоумышленники умело используют доверие пользователей, вводя их в заблуждение.
Эксперт Абдулрехман Али отмечает: „Подход Velvet Chollima APT group, особенно технология ClickFix, подчеркивает необходимость повышения осведомленности потенциальных жертв и пользователей. Особенно это критично для государственных органов и организаций с высокой степенью риска.“
Для минимизации угроз рекомендуется:
- повышать уровень киберграмотности сотрудников, обучая их распознавать опасные фишинговые техники;
- внедрять многофакторную аутентификацию и ограничивать привилегии при исполнении команд PowerShell;
- использовать системы обнаружения подозрительных действий и модификаций реестра;
- постоянно обновлять антивирусные и мониторинговые решения.
Заключение
Взломы с применением инновационной тактики ClickFix от Velvet Chollima APT наглядно показывают, насколько опасны современные методы социальной инженерии в сочетании с техническими уязвимостями. Отчет Абдулрехмана Али служит предупреждением для южнокорейских и международных организаций о необходимости комплексного подхода к кибербезопасности — объединяющего технологии и обучение пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощренные кибератаки Velvet Chollima APT: новая угроза фишинга".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.