СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.09.2025
#ИБ#Инфра

APT37: Rustonotto и FadeStealer — эволюция тактик

APT37: Rustonotto и FadeStealer — эволюция тактик

Источник: www.zscaler.com

APT37, связываемая с Северной Кореей кибергруппа, действует по крайней мере с 2012 года и традиционно нацеливается на граждан Южной Кореи, связанных с северокорейским режимом или правозащитной деятельностью. Последние кампании показывают заметную эволюцию тактик злоумышленника: в атаке обнаружен новый бэкдор на базе Rust под названием Rustonotto, а также модернизированная инфраструктура управления и сбора данных.

Кто стоит за атаками

APT37 известна целенаправленными операциями в отношении лиц, вовлечённых в политические, дипломатические и правозащитные вопросы, преимущественно на территории Южной Кореи. Имена конкретных жертв в отчёте не раскрываются, однако содержание используемых приманок указывает на стратегическое нацеливание по тематике.

Ключевые компоненты и возможности вредоносного набора

  • Rustonotto — новый бэкдор, скомпилированный на Rust. Это, по данным отчёта, _первый известный случай_ использования APT37 скомпилированного Rust-малвари для компрометации Windows-систем.
  • FadeStealer — инструмент наблюдения и сбора данных: регистратор нажатий клавиш, делает скриншоты и записывает аудио, извлекает файлы для последующей эксфильтрации.
  • Дополнительные скрипты и загрузчики: в кампании отмечается скрипт PowerShell с именем Chinotto, Python-based загрузчики и другие вспомогательные компоненты.
  • Единая инфраструктура управления (C2) — все полезные нагрузки управляются с помощью одного C2, реализованного на базе скомпрометированных веб-серверов и лёгкого PHP-скрипта, возвращающего структурированные ответы в формате JSON.

Типовые векторы заражения

Злоумышленник использует несколько проверенных техник социального инжиниринга и обфускации доставки вредоносных компонентов:

  • Запуск ярлыков Windows или файлов справки (CHM), которые развёртывают скрипты и полезные нагрузки.
  • Использование защищённых паролем архивов RAR, содержащих вредоносные CHM-файлы.
  • При выполнении CHM модифицируется реестр для обеспечения автозапуска HTA-файла при входе пользователя в систему, что даёт постоянный доступ.
  • Применение файлов Microsoft Cabinet (CAB) для доставки полезных нагрузок, которые затем запускаются с помощью Python-лаунчеров.

Механизм взаимодействия и эксфильтрации данных

FadeStealer взаимодействует с C2 через команды, закодированные в Base64. По полученным инструкциям он ищет целевые файлы, упаковывает их в RAR-архивы с отметками времени и передаёт для эксфильтрации. Для параллельного сбора данных инструмент разворачивает несколько потоков, что повышает скорость и объём собираемой информации.

«Это первый известный случай APT37, использующий скомпилированное Rust вредоносное ПО для взлома систем Windows», — подчёркивает отчёт.

Инфраструктура C2

Оперативная инфраструктура зачастую базируется на скомпрометированных веб-сайтах, замаскированных под легитимные ресурсы. Для связи с имплантатами используется лёгкий PHP-скрипт, который упрощает приём команд и отчётов, возвращая результаты в формате JSON.

Кому угрожают атаки

Основные жертвы операций APT37 идентифицированы в Южной Корее. Контент приманок и контекст атак указывают на прицеливание в людей, занятых политическими и дипломатическими вопросами, а также тех, кто связан с правозащитной деятельностью.

Последствия и оценка

Появление Rustonotto демонстрирует технологическую эволюцию APT37: переход к использованию компилируемых языков и новых инструментов затрудняет анализ и детекцию. Унификация управления через единый C2 и расширенные возможности FadeStealer делают кампанию более масштабной и устойчивой.

Рекомендации (кратко)

  • Повышать бдительность при открытии вложений CHM, архивов RAR и исполняемых ярлыков.
  • Контролировать автозапуск HTA и изменения реестра, внедряемые внешними файлами.
  • Мониторить аномальную сетьевую активность на предмет соединений с неизвестными веб-сайтами и подозрительными PHP-эндпоинтами, а также фильтровать нестандартный трафик с Base64-обменом.

В целом выявленная кампания подтверждает, что APT37 продолжает адаптироваться и осваивать новые технологии, что требует от организаций и специалистов по кибербезопасности постоянного обновления средств защиты и методов мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: