СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.05.2025
#Dev#ИБ#Облака

APT37: Угрозы фишинга через облачные сервисы от Северной Кореи

APT37: Угрозы фишинга через облачные сервисы от Северной Кореи

Хакерская группа APT37, связанная с Северной Кореей, недавно привлекла внимание кибербезопасности своими сложными фишинговыми атаками. Используя тактику, маскирующую свои злонамеренные действия под легитимные мероприятия, группа нацелилась на аналитический центр по стратегии национальной безопасности Южной Кореи.

Фишинговая кампания

Последние атаки APT37 продемонстрировали умелое использование файлов LNK, распространяемых через Dropbox. Группа организовала фальшивое мероприятие на тему «Эра Трампа 2.0, перспективы и реакция Кореи», что иллюстрирует их стратегию использования надежных облачных сервисов для командования и контроля (C2).

Методы атаки

В рамках фишинговых атак spear группа использовала следующие методы:

  • Отправка электронных писем со встроенными ссылками на сжатые файлы в Dropbox.
  • Файлы содержали ярлыки LNK, запускающие вредоносные программы, связанные с серией Rokrat.
  • Использование команд PowerShell для загрузки и выполнения дополнительного вредоносного кода.
  • Скрипты PowerShell встроены в файлы LNK, что позволяет запускать код в памяти, избегая обнаружения антивирусами.

Последствия и рекомендации

Конечная полезная нагрузка программ демонстрировала привычное для Rokrat поведение, включая:

  • Сбор системной информации.
  • Выполнение команд в скомпрометированной среде.

Использование надежных средств связи C2 через Dropbox и Yandex с токенами доступа для аутентификации усложняет задачу обнаружения атак. Группа APT37 часто действуют без серьезных изменений кода, что заставляет провести анализ методов и улучшить механизмы обнаружения конечных точек и реагирования (EDR).

Вынесенные уроки

Наблюдается закономерность в том, как APT37 постоянно совершенствует свои методы, не внося кардинальные изменения в базовый код. Это подчеркивает необходимость внедрения усовершенствованных возможностей для защиты организаций:

  • Увеличение бдительности в отношении целенаправленных фишинговых атак.
  • Применение современных подходов для выявления аномальных связей API.
  • Использование средств для защиты от стратегий, которые не полагаются на полезную нагрузку, но активно используют легитимные облачные сервисы.

Итак, полученные данные указывают на неуклонно растущую угрозу со стороны APT37, что требует упреждающих мероприятий для защиты от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: