СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.02.2025
#Dev#ИБ#ИИ#Облака

APT-C-28: Угрозы и новые методы атак

APT-C-28: Угрозы и новые методы атак

Группа APT-C-28, также известная как ScarCruft или APT37, представляет собой сложную организацию киберпреступников, которая с 2012 года активно занимается целенаправленными атаками на Южную Корею и другие страны Восточной Азии. Ее основная цель — кража конфиденциальных данных, связанных с военными, политическими и экономическими аспектами.

Методы и инструменты APT-C-28

APT-C-28 делает акцент на ключевых отраслях промышленности, таких как:

  • Химическая промышленность
  • Электроника
  • Аэрокосмическая промышленность
  • Автомобилестроение
  • Здравоохранение
  • Обрабатывающая промышленность

Ключевым инструментом, используемым данной группой, является RokRat — облачный троян удаленного доступа (RAT), который активно используется не менее с 2016 года. Этот вредоносный софт позволяет злоумышленникам выполнять следующие действия:

  • Проникать в сети жертв
  • Извлекать критически важную информацию
  • Вести долгосрочное наблюдение за объектами атак

Технологии внедрения

Методы внедрения APT-C-28 включают создание настраиваемых фишинговых электронных писем с использованием информации, полученной с легитимных веб-сайтов. В частности, группа использует файлы LNK, использующие методы безфайлового внедрения вредоносного ПО. Порядок действий выглядит следующим образом:

  1. Получение жертвой фишингового письма с файлом LNK.
  2. Взаимодействие с файлом приводит к расшифровке вредоносного кода, зашифрованного с использованием алгоритма XOR.
  3. Загрузка и запуск RokRat с использованием PowerShell для извлечения дополнительных файлов.

Кампания APT-C-28 часто нацелена на организации, связанные с Северной Кореей, и на протяжении времени адаптирует свои методы атаки. Например, недавние разработки показывают, что группа отказалась от использования облачных сервисов для передачи зашифрованных данных в пользу внедрения этих данных непосредственно в вредоносные файлы LNK.

Новые изменения в RokRat

Версия RokRat 2024 года сохраняет архитектурное сходство с предыдущими версиями, но демонстрирует значительные изменения в стратегии атаки. В частности, она маскирует свой пользовательский агент под Googlebot во время общения, что подчеркивает адаптивность и изощренность методов APT-C-28.

Рекомендации по защите

Для снижения угрозы, поступающей от APT-C-28 и RokRat, эксперты рекомендуют:

  • Повышение уровня осведомленности сотрудников о кибербезопасности
  • Обучение распознаванию фишинга и вредоносных вложений
  • Внедрение систем фильтрации электронной почты
  • Регулярное сканирование системы на наличие угроз
  • Поддержание актуальности антивирусной защиты
  • Ограничение прав пользователей на выполнение файлов LNK
  • Применение строгого контроля доступа

Непрерывный мониторинг и сбор разведданных о APT-C-28 и RokRat будут иметь решающее значение для разработки успешных стратегий обороны.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: