APT37: Вредоносные атаки через K Messenger и новые угрозы

APT37: Вредоносные атаки через K Messenger и новые угрозы

В 2024 году в Корее наблюдается рост APT-атак, вызванный деятельностью группы APT37, которая активно использует мессенджер K Messenger для распространения вредоносного ПО. Основное внимание уделяется методам, таким как использование файлов HWP и LNK, которые стали серьезной угрозой в киберпространстве страны.

Методы атаки и векторы угроз

Спонсируемые государством хакерские группы, нацеленные на Корейский полуостров, применяют разнообразные методы, включая:

  • Скрытый фишинг
  • Атаки на водопои
  • Атаки на цепочки поставок программного обеспечения
  • Атаки на социальные сети
  • Аутсорсинговые атаки на основе фрилансеров

Основная цель данных атак — кража личных данных и внедрение вредоносного ПО через файловый обмен в мессенджерах.

Способы распространения вредоносного ПО

Анализ показывает, что успешные APT-атаки начинаются с точечных фишинговых атак, после чего злоумышленники могут перемещаться по сети. Вредоносные файлы, такие как HWP с OLE и LNK с командами PowerShell, используются для подмены жертв и обхода антивирусных систем.

*Злоумышленники используют тактику, основанную на доверии*, полагаясь на то, что пользователи запускают вредоносные файлы в среде Windows, в то время как безопасность Android остается относительно высокой.

Кейс с Корейским институтом аэрокосмических исследований

В одном из случаев группа рассылала вредоносные электронные письма от имени Корейского института аэрокосмических исследований, что свидетельствует о целенаправленной атаке на компании, занимающиеся разработкой беспилотных летательных аппаратов.

Тактики обмана и эволюция методов

Технический анализ показал, как злоумышленники используют хитрые стратегии для обмана жертв, заставляя их запускать вредоносный код, скрытый под обычными документами, такими как HWP.

Анализ также освещает:

  • Изменения в тактиках хакеров с использованием групповых чатов
  • Внедрение вредоносных OLE-объектов

Необходимость защиты и проактивного реагирования

Отчет подчеркивает важность создания систем безопасности на основе EDR для повышения эффективности обнаружения APT-атак. Рекомендуются такие инструменты, как Genian EDR, для блокировки выполнения внутренних команд и снижения рисков, связанных с данными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: