APT37 и «Операция ToyBox»: новая угроза через Dropbox и LNK-файлы

Северокорейская группа APT37 провела масштабную фишинговую кампанию «Операция: история ToyBox»

В марте 2025 года государственно спонсируемая северокорейская хакерская группа APT37 запустила масштабную фишинговую кампанию под названием «Операция: история ToyBox». Целью атаки стали активисты, ориентированные на Северную Корею. Атака продемонстрировала использование продвинутых методов социальной инженерии и хитроумных технических инструментов, направленных на обход традиционных систем защиты.

Методы атаки и технические детали

Для проведения атаки злоумышленники воспользовались социальной инженерией, маскируя свои сообщения под приглашения на научный форум, якобы организованный южнокорейским аналитическим центром по национальной безопасности. Вредоносные phishing-эмейлы включали в себя ссылки на Dropbox, через который распространялись ZIP-архивы с LNK-файлами — тонко замаскированными под легитимный контент, связанный с размещением северокорейских войск в России.

Привлекательность этой тактики заключалась в следующем:

• Пользователи, запуская LNK-файл, непреднамеренно активировали документ-приманку.
• В то же время запуск файла инициировал скрытое выполнение PowerShell-скриптов, загружающих дополнительное вредоносное ПО.
• Использование LNK-файлов позволяло обойти классическую антивирусную проверку, так как команды PowerShell были встроены в конфигурацию этих файлов.

RoKRAT — ключевое вредоносное ПО кампании

Вредоносное ПО, заложенное в рамках кампании, было идентифицировано как RoKRAT — семейство программ, известное своим безфайловым механизмом работы. Это позволяет обходить традиционные методы обнаружения, основанные на анализе файловой системы.

Основные функции RoKRAT включают:

• Сбор системной информации и её сохранение в памяти.
• Генерацию команд для управления через облачные серверы (C2).
• Использование многоступенчатого шифрования для маскировки данных при аутентификации через Dropbox.
• Создание скриншотов в реальном времени.
• Выполнение удалённых команд, что усложняет диагностику и анализ вредоносного поведения.

Особенности тактики APT37 и её эволюция

Использование LNK-файлов для выполнения PowerShell-команд и динамическая загрузка шелл-кода в память свидетельствуют о высокой степени изощрённости злоумышленников. Этот подход позволяет минимизировать следы активности, затрудняя идентификацию и последующее устранение угрозы.

Стоит отметить, что APT37 неоднократно применяла подобные методы в прошлых инцидентах, изменяя полезную нагрузку, но сохраняя общую структуру кода, что отражается в уникальной поведенческой сигнатуре. Это позволяет связывать их атаки с аналитическими данными в рамках MITRE ATT&CK платформы.

Кроме того, группа уже использовала уязвимости нулевого дня, к примеру, в браузере Internet Explorer (CVE-2022-41128), а их деятельность распространяется на такие платформы, как Android и macOS.

Рекомендации по защите и важность современных решений

Акцент на использовании легитимных облачных сервисов, таких как Dropbox, для инфраструктуры C2 подчеркивает необходимость внедрения продвинутых мер безопасности. В частности, критически важны системы обнаружения и реагирования на конечных точках (EDR), способные выявлять аномальное поведение в средах с активным использованием облачных платформ.

Эксперты подчеркивают, что данная кампания демонстрирует последовательную и системную стратегию злоумышленников по эксплуатации общедоступных сервисов в злонамеренных целях. Это требует от организаций повышенной бдительности и разработки комплексных стратегий обнаружения угроз в области кибербезопасности.

Итог — только сложный и многоуровневый подход к безопасности способен защитить пользователей от подобных изощрённых атак, основанных на социальной инженерии и современных технологических схемах внедрения вредоносного кода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.