APT37: Новые тактики северокорейских хакеров в кибератаках
Источник: www.ctfiot.com
APT37, известная также как ScarCruft, Reaper и Red Eyes, представляет собой хакерскую группу, спонсируемую северокорейским государством, которая с 2012 года активно ведет свою деятельность. Изначально нацеленная на Южную Корею, с 2023 года группа расширила свои контексты, охватив предприятия в Японии, Вьетнаме, на Ближнем Востоке и отраслях, таких как здравоохранение и обрабатывающая промышленность.
Методы атаки и цели
Последние тактики APT37 заключаются в проведении фишинговых кампаний, нацеленных преимущественно на пользователей платформ Windows и Android. Атаки начинаются с отправки фишингового электронного письма, содержащее ZIP-файл с вредоносным LNK-файлом, который маскируется под документы, связанные с Северной Кореей или торговыми соглашениями.
Структура атаки
Последовательность атак включает следующие этапы:
- Фишинговое электронное письмо с ZIP-файлом;
- Запуск вредоносного LNK-файла;
- Инициирование многоэтапной атаки с использованием пакетных сценариев и PowerShell;
- Запуск трояна удаленного доступа (RAT) — RokRat.
Функции и возможности RokRat
RokRat, являясь центральным элементом атаки, представляет собой мощный инструмент для системной разведки и сбора данных. Он собирает информацию о:
- версии операционной системы;
- зарегистрированных пользователях;
- технических характеристиках оборудования;
- запущенных процессах.
Собранные данные передаются на сервер управления (C2) с использованием облачных сервисов, таких как pCloud, Yandex и Dropbox, через их API. RokRat способен удаленно выполнять команды в зараженной системе, в том числе фильтрацию данных и управление процессами, используя cmd.exe для выполнения произвольных команд.
Методы сокрытия и защиты данных
Вредоносная программа RokRat применяет несколько сложных методов, позволяющих избежать обнаружения:
- Проверка на наличие инструментов VMware для определения виртуализированной среды;
- Использование обфускации XOR и шифрования RSA для защиты собранных данных;
- Шифрование команд, получаемых с сервера C2, с использованием режима AES-CBC.
Также стоит отметить механизм самоудаления, который охватывает различные файлы сценариев и ярлыков в папке запуска Windows и AppData. RokRat рекурсивно загружает данные со всех логических дисков, применяет фильтры для захвата определенных типов документов, таких как .XLS, .DOC, .PPT, на основе заранее определенных критериев перед удалением.
Заключение
APT37 является примером настойчивого и развивающегося хакера, использующего передовые методы для проникновения в целевые системы и контроля над ними с целью кражи данных и наблюдения. Их деятельность подчеркивает важность защиты информации и повышения осведомленности о киберугрозах в современных организациях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
