APT-C-60: северокорейская угроза с использованием облачных платформ

APT-C-60: новые методы скрытого управления вредоносными программами через облачные платформы

Северокорейская APT-группа APT-C-60, известная также под прозвищем «Псевдо-охотник», действует с 2014 года и традиционно нацеливается на организации, связанные с корейским правительством, экономикой, торговлей и культурой. В частности, киберпреступники проявляют интерес к консалтинговым компаниям по трудовым вопросам. Недавнее исследование Института перспективных исследований угроз 360 раскрывает новые сложные техники атак и использования облачных сервисов в инфраструктуре угрозы.

Использование надежных облачных платформ для маскировки команд и полезной нагрузки

Одной из ключевых находок стало использование APT-C-60 таких популярных сервисов, как GitHub и Bitbucket, для организации скрытых каналов управления вредоносным ПО. Такая тактика значительно повышает скрытность активности группы за счёт распределения функций между разными платформами:

• GitHub используется для ретрансляции команд и хранения фронтальной полезной нагрузки;
• Bitbucket служит для бэкдорного хранения компонентов вредоносного ПО, что облегчает динамическое распределение полезной нагрузки.

Технические особенности вредоносного ПО APT-C-60

Зловредная программа содержит зашифрованную полезную нагрузку объёмом около 120 КБ, использующую метод исключения для шифрования с применением специального ключа. Архитектура ПО предусматривает ограничение доставки полезной нагрузки лишь на ограниченное число устройств, что снижает вероятность обнаружения и повышает эффективность атаки.

Процесс эксплуатации вредоносного ПО можно описать как двухэтапный: загрузка полезной информации происходит только после выполнения определённых условий, что дополнительно усложняет анализ и обнаружение вредоносной активности.

Варианты вредоносных модулей генерируются пакетным образом с одинаковыми базовыми функциями, но различаются параметрами, что позволяет гибко адаптироваться под различные целевые инфраструктуры.

Функционал и коммуникации бэкдора

При анализе исполнения полезной нагрузки было выявлено наличие инсталлятора черного хода (MD5: df58cd2b90db1960c8ac30f57839e513), который устанавливает параметры конфигурации и проверяет наличие специфических локальных файлов перед загрузкой дополнительных компонентов.

Декодированная полезная нагрузка бэкдора (Backdoor Config.dat, MD5: b3b0366a5696ab4a733cbfb0dddcc563) обладает функциями кейлоггинга и использует протокол связи, основанный на комбинации нестандартных кодировок RC4 и Base64, что характерно для ранних версий APT-C-60.

Схема коммуникаций в GitHub, временные рамки активности и особенности исполнения вредоносного кода указывают на высокоуровневую стратегию операционной безопасности, выработанную группировкой за годы её деятельности.

Рекомендации по защите от APT-C-60

Организациям, находящимся в зоне риска, стоит обратить внимание на следующие меры по минимизации угроз, исходящих от APT-C-60:

• Повышение квалификации сотрудников в области выявления фишинга и подозрительных файлов;
• Использование современных систем фильтрации электронной почты для блокировки вредоносных вложений;
• Поддержка актуального антивирусного ПО с возможностью автоматического сканирования;
• Внедрение строгих политик контроля доступа к файлам и системам, минимизирующих возможность запуска вредоносного кода.

В условиях эволюции методов и инструментов APT-групп важна комплексная и своевременная защита, основанная на понимании их тактик, техник и процедур.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.