В ходе внутреннего анализа операции Artemis, проведенного специалистами по кибербезопасности, выявлен сложный вектор атак, при котором злоумышленники применяли файлы HWP (текстовый процессор Hangul) для инициирования целенаправленных компрометаций. Цель атаки — получение первоначального доступа и последующее развертывание устойчивой инфраструктуры внутри целевых сред — была достигнута благодаря сочетанию продвинутой социальной инженерии и многоуровневых технических трюков.
Как начиналась атака
Атака начиналась со Spear phishing: жертвы получали кажущиеся безобидными документы HWP, часто в контексте журналистских запросов — злоумышленники выдавали себя за репортеров, чтобы завоевать доверие и побудить к взаимодействию с файлом. После открытия документа инициировался встроенный OLE-объект, который давал начальный вектор доступа.
- Социальная инженерия: подмена личности журналиста и создание доверительного диалога.
- Инфекционный вектор: HWP-файлы с внедрёнными OLE-объектами, размещёнными в хранилище BinData.
- Дальнейшее развитие: запуск встроенных компонентов приводил к исполнению цепочки загрузки и последующей установки полезной нагрузки.
Технический анализ вредоносных HWP
Исследование образцов показало устойчивую структуру вредоносных HWP: злоумышленники систематически инжектировали OLE-объекты в секцию BinData, что позволяло скрывать полезную нагрузку внутри документа. Ключевыми элементами атаки были:
- Встраивание OLE-объектов в BinData для скрытия груза внутри HWP.
- Использование стеганографии для дополнителной маскировки компонентов и конфигураций.
- Применение техники DLL sideloading для обхода традиционных мер безопасности: вредоносные DLL подставлялись в процессе загрузки легитимных приложений.
- Повторяемая методология: обнаружено массовое использование файлов типа version.dll в октябре–ноябре 2025, что указывает на стандартизированный подход группы.
Комбинация стеганографии и sideloading
Особенность операции — эволюция методов: APT37 сумела комбинировать стеганографические техники с процедурой DLL sideloading, создавая многоуровневую обфускацию. Это усложняет обнаружение на этапе статического анализа и повышает шансы успешной эксплуатации на этапе исполнения.
«Тактика нападения, описанная в «Операции Artemis», отражает продуманный подход, который предполагает не только техническую изощренность, но и ответственность за социальную инженерию.»
Инфраструктура C2 и облачные сервисы
Анализ коммуникаций показал связь активности APT37 с инфраструктурой командования и управления (C2), развернутой в российской облачной платформе Yandex Cloud. Использование облачных сервисов позволяет злоумышленникам:
- автоматизировать и масштабировать операции;
- быстро менять хосты и домены для усложнения трекинга;
- интегрировать легитимные облачные функции для маскировки трафика.
Поведенческие характеристики и тактика социальной инженерии
APT37 демонстрирует высокую адаптивность: их операционные сценарии включают тщательную подготовку «разговоров» и взаимодействий с целями, избегая очевидных признаков вредоносности до момента, когда доверие уже установлено. Такой подход характерен для целевых кампаний высокого уровня и сочетает психологические и технические методы.
Рекомендации по защите
Для противодействия подобным многоуровневым атакам аналитики рекомендуют внедрять многоступенчатую защиту с акцентом на поведенческий мониторинг и реагирование. Ключевые меры:
- Внедрение и регулярное обновление систем обнаружения и реагирования на конечных точках (EDR) с фокусом на поведенческий анализ, а не только сигнатуры.
- Ограничение и контроль загрузки DLL, внедрение механизмов блокировки неавторизованного sideloading.
- Фильтрация и анализ вложений HWP в почтовых шлюзах, включая проверку BinData и OLE-объектов.
- Обучение сотрудников методам распознавания Spear phishing и моделям социальной инженерии.
- Мониторинг облачной активности и подозрительных связей с внешними C2-серверами, в том числе в Yandex Cloud.
Вывод
Операция Artemis демонстрирует, что APT37 продолжает развивать сочетание социально-инженерных методов и технических техник для обеспечения скрытности и устойчивости своих операций. Встраивание OLE в HWP, применение стеганографии и систематическое использование DLL sideloading, а также опора на облачные сервисы делают такие кампании сложными для обнаружения. Комплексный подход к защите — объединяющий технологии EDR, контроль загрузки модулей, анализ почтовых вложений и обучение пользователей — остаётся решающим фактором в противодействии этим угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Операция Artemis: APT37 использует HWP и DLL sideloading".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.