СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#Dev#ИБ

APT-атаки в Корее: Анализ фишинга и удаленного доступа

APT-атаки в Корее: Анализ фишинга и удаленного доступа

Компания AhnLab, один из лидеров в области кибербезопасности, представила отчет, в котором подробно рассматриваются APT-атаки, нацеленные на внутренние организации. В отчете, охватывающем декабрь 2024 года, исследуются классификация и статистика таких атак, а также описываются их наиболее распространенные методы.

Тенденции APT-атак в декабре 2024 года

Согласно данным, предоставленным AhnLab, большинство APT-атак, выявленных в Корее, были отнесены к категории точечных фишинговых атак.

Точечный фишинг представляет собой сложный тип фишинговой атаки, нацеленный на конкретных людей или группы. Это достигается путем тщательной разведки для сбора информации о цели, что позволяет злоумышленникам создавать правдоподобные фишинговые сообщения.

Методы точечного фишинга

В ходе таких фишинговых атак часто используются ряд методов, включая:

  • Подделка электронной почты для манипуляции информацией об отправителе;
  • Включение вредоносных вложений или ссылок, побуждающих пользователей к действию.

Распространенные техники APT-атак

Одним из распространенных методов в этих атаках является использование файлов с расширением .LNK, которые содержат вредоносные команды PowerShell. При исполнении этих команд происходит извлечение CAB-файла, встроенного в файл LNK, который включает в себя множество вредоносных скриптов, предназначенных для утечки информации и загрузки дополнительного вредоносного ПО.

Форматы выполняемых файлов

Вредоносные скрипты могут быть представлены в различных форматах, таких как:

  • .bat
  • .ps1
  • .vbs

Они выполняют вредоносные действия, включая извлечение информации о компьютере пользователя и загрузку других вредоносных файлов.

Троянские программы удаленного доступа (RAT)

Другой вариант APT-атаки, описанный в отчете, касается развертывания троянских программ удаленного доступа (RAT). Такие атаки распространены в сочетании с обычными файлами в заархивированных форматах.

Вредоносные файлы LNK, выявленные в этих случаях, содержат команды PowerShell для загрузки вредоносного ПО. Злоумышленники часто используют сервисы, такие как DropBox API или Google Drive, для извлечения вредоносных программ или создания дополнительных файлов скриптов на компьютере пользователя.

Возможные действия RAT

После активации, вредоносная программа RAT, такие как XenoRAT и RoKRAT, выполняет команды злоумышленников, что позволяет осуществлять:

  • Кейлоггинг;
  • Захват экрана.

Таким образом, отчет AhnLab подчеркивает необходимость повышенного внимания к методам APT-атак и фишинга, что несет серьезные риски для организаций в Корее и за ее пределами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: