APT37: Вредоносные атаки через K Messenger и новые угрозы

В 2024 году в Корее наблюдается рост APT-атак, вызванный деятельностью группы APT37, которая активно использует мессенджер K Messenger для распространения вредоносного ПО. Основное внимание уделяется методам, таким как использование файлов HWP и LNK, которые стали серьезной угрозой в киберпространстве страны.
Методы атаки и векторы угроз
Спонсируемые государством хакерские группы, нацеленные на Корейский полуостров, применяют разнообразные методы, включая:
- Скрытый фишинг
- Атаки на водопои
- Атаки на цепочки поставок программного обеспечения
- Атаки на социальные сети
- Аутсорсинговые атаки на основе фрилансеров
Основная цель данных атак — кража личных данных и внедрение вредоносного ПО через файловый обмен в мессенджерах.
Способы распространения вредоносного ПО
Анализ показывает, что успешные APT-атаки начинаются с точечных фишинговых атак, после чего злоумышленники могут перемещаться по сети. Вредоносные файлы, такие как HWP с OLE и LNK с командами PowerShell, используются для подмены жертв и обхода антивирусных систем.
*Злоумышленники используют тактику, основанную на доверии*, полагаясь на то, что пользователи запускают вредоносные файлы в среде Windows, в то время как безопасность Android остается относительно высокой.
Кейс с Корейским институтом аэрокосмических исследований
В одном из случаев группа рассылала вредоносные электронные письма от имени Корейского института аэрокосмических исследований, что свидетельствует о целенаправленной атаке на компании, занимающиеся разработкой беспилотных летательных аппаратов.
Тактики обмана и эволюция методов
Технический анализ показал, как злоумышленники используют хитрые стратегии для обмана жертв, заставляя их запускать вредоносный код, скрытый под обычными документами, такими как HWP.
Анализ также освещает:
- Изменения в тактиках хакеров с использованием групповых чатов
- Внедрение вредоносных OLE-объектов
Необходимость защиты и проактивного реагирования
Отчет подчеркивает важность создания систем безопасности на основе EDR для повышения эффективности обнаружения APT-атак. Рекомендуются такие инструменты, как Genian EDR, для блокировки выполнения внутренних команд и снижения рисков, связанных с данными угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



