Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Group123 (APT37): усиление кибершпионажа через HWP и zero-day

3 мин
Group123, также известная как APT37, Reaper и ScarCruft, — спонсируемая государством северокорейская APT‑группировка, действующая как минимум с 2012 года. Изначально ориентированная на кибершпионаж против Южной Кореи, с 2017 года она расширила географию атак, включив Японию, Вьетнам, Ближний Восток и другие регионы. В последние годы Group123 усилила внимание к средам Windows, комбинируя технику spearphishing с вредоносными приманками в документах, особенно в формате Hangul/HWP. Группа специализируется на длительном скрытном доступе и целенаправленных операциях против правительственных учреждений, оборонных организаций, исследовательских институтов и объектов критической инфраструктуры. Исторически основная цель — Южная Корея; после 2017 года наблюдается расширение спектра целей в Азии и на Ближнем Востоке. Group123 использует ряд собственных и модульных семейств вредоносного ПО, которые выполняют функции удалённого управления, кражи данных и перемещения по сети. Среди известных компоне
Оглавление

Group123, также известная как APT37, Reaper и ScarCruft, — спонсируемая государством северокорейская APT‑группировка, действующая как минимум с 2012 года. Изначально ориентированная на кибершпионаж против Южной Кореи, с 2017 года она расширила географию атак, включив Японию, Вьетнам, Ближний Восток и другие регионы. В последние годы Group123 усилила внимание к средам Windows, комбинируя технику spearphishing с вредоносными приманками в документах, особенно в формате Hangul/HWP.

История и целевые объекты

Группа специализируется на длительном скрытном доступе и целенаправленных операциях против правительственных учреждений, оборонных организаций, исследовательских институтов и объектов критической инфраструктуры. Исторически основная цель — Южная Корея; после 2017 года наблюдается расширение спектра целей в Азии и на Ближнем Востоке.

Тактики, техники и процедуры (TTPs)

  • Spearphishing с использованием специально оформленных документов‑приманок.
  • Акцент на файлах Hangul/HWP и других офисных форматах как векторах заражения.
  • Эксплуатация уязвимостей в офисных пакетах, операционных системах и веб‑приложениях, включая zero-day эксплойты.
  • Установление постоянного доступа (persistence), последующая латеральная активность внутри сети и эксфильтрация данных.
  • Использование C2‑каналов на основе HTTPS, что усложняет обнаружение за счёт маскировки трафика под легитимный.

Инструментарий и семейства вредоносного ПО

Group123 использует ряд собственных и модульных семейств вредоносного ПО, которые выполняют функции удалённого управления, кражи данных и перемещения по сети. Среди известных компонентов:

  • ROKRAT — RAT для выполнения команд и эксфильтрации данных.
  • PoohMilk Loader, Freenki Loader — загрузчики, облегчающие развертывание основного полезного груза.
  • GELCAPSULE, Oceansalt — более современные инструменты из арсенала группы.
  • Старые варианты: DOGCALL/Nokki и NavRAT, использовавшиеся в предыдущих кампаниях.

Эти компоненты применяются для выполнения команд, кражи учётных данных, эксфильтрации информации и перемещения по инфраструктуре жертвы.

Zero‑day, CVE‑2016‑4171 и быстрота реакции на уязвимости

Group123 демонстрирует способность оперативно интегрировать новые уязвимости в цепочки атак, включая использование zero-day. В истории группы фигурирует эксплойт, связанный с CVE‑2016‑4171 — уязвимостью с критической оценкой CVSS 9.8. Такая практика значительно повышает эффективность атак и усиливает риски для организаций, которые не успевают своевременно применять патчи или используют устаревшие системы.

«Группа известна быстрой интеграцией новых уязвимостей в цепи атак, что повышает риски для организаций, не применяющих своевременные обновления», — отмечают аналитики.

Особенности, которые затрудняют обнаружение

  • HTTPS‑базированные C2, маскирующие вредоносный трафик под легитимную сетевую активность.
  • Использование загрузчиков (loaders), позволяющих похищать и запускать полезную нагрузку по требованию.
  • Ориентация на специфичные форматы документов (Hangul/HWP), что позволяет обходить часть стандартных средств защиты, не настроенных на анализ таких форматов.

Что это значит для организаций

Целенаправленные методы Group123, собственные семейства вредоносного ПО и эксплуатация оппортунистических уязвимостей представляют серьёзную угрозу для кибербезопасности в регионах их активности. Основные выводы для практики безопасности:

  • Своевременное применение патчей и обновлений — критически важно, особенно для устаревших и legacy‑систем.
  • Усиление защиты электронной почты и обучение пользователей против spearphishing‑атак.
  • Мониторинг и анализ HTTPS‑трафика, внедрение механизмов TLS‑инспекции там, где это допустимо и безопасно.
  • Внимание к анализу и фильтрации документов в форматах Hangul/HWP.
  • Развертывание EDR/IDS‑решений и обмен разведданными о угрозах с отраслевыми партнёрами.

В краткосрочной перспективе Group123 остаётся одной из активных и адаптивных угроз, требующих от организаций с высокой степенью приоритетности улучшения процессов управления уязвимостями и контроля по каналам доставки вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Group123 (APT37): усиление кибершпионажа через HWP и zero-day".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются