СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.12.2025
#ИБ

Group123 (APT37): усиление кибершпионажа через HWP и zero-day

Group123, также известная как APT37, Reaper и ScarCruft, — спонсируемая государством северокорейская APT‑группировка, действующая как минимум с 2012 года. Изначально ориентированная на кибершпионаж против Южной Кореи, с 2017 года она расширила географию атак, включив Японию, Вьетнам, Ближний Восток и другие регионы. В последние годы Group123 усилила внимание к средам Windows, комбинируя технику spearphishing с вредоносными приманками в документах, особенно в формате Hangul/HWP.

История и целевые объекты

Группа специализируется на длительном скрытном доступе и целенаправленных операциях против правительственных учреждений, оборонных организаций, исследовательских институтов и объектов критической инфраструктуры. Исторически основная цель — Южная Корея; после 2017 года наблюдается расширение спектра целей в Азии и на Ближнем Востоке.

Тактики, техники и процедуры (TTPs)

  • Spearphishing с использованием специально оформленных документов‑приманок.
  • Акцент на файлах Hangul/HWP и других офисных форматах как векторах заражения.
  • Эксплуатация уязвимостей в офисных пакетах, операционных системах и веб‑приложениях, включая zero-day эксплойты.
  • Установление постоянного доступа (persistence), последующая латеральная активность внутри сети и эксфильтрация данных.
  • Использование C2‑каналов на основе HTTPS, что усложняет обнаружение за счёт маскировки трафика под легитимный.

Инструментарий и семейства вредоносного ПО

Group123 использует ряд собственных и модульных семейств вредоносного ПО, которые выполняют функции удалённого управления, кражи данных и перемещения по сети. Среди известных компонентов:

  • ROKRAT — RAT для выполнения команд и эксфильтрации данных.
  • PoohMilk Loader, Freenki Loader — загрузчики, облегчающие развертывание основного полезного груза.
  • GELCAPSULE, Oceansalt — более современные инструменты из арсенала группы.
  • Старые варианты: DOGCALL/Nokki и NavRAT, использовавшиеся в предыдущих кампаниях.

Эти компоненты применяются для выполнения команд, кражи учётных данных, эксфильтрации информации и перемещения по инфраструктуре жертвы.

Zero‑day, CVE‑2016‑4171 и быстрота реакции на уязвимости

Group123 демонстрирует способность оперативно интегрировать новые уязвимости в цепочки атак, включая использование zero-day. В истории группы фигурирует эксплойт, связанный с CVE‑2016‑4171 — уязвимостью с критической оценкой CVSS 9.8. Такая практика значительно повышает эффективность атак и усиливает риски для организаций, которые не успевают своевременно применять патчи или используют устаревшие системы.

«Группа известна быстрой интеграцией новых уязвимостей в цепи атак, что повышает риски для организаций, не применяющих своевременные обновления», — отмечают аналитики.

Особенности, которые затрудняют обнаружение

  • HTTPS‑базированные C2, маскирующие вредоносный трафик под легитимную сетевую активность.
  • Использование загрузчиков (loaders), позволяющих похищать и запускать полезную нагрузку по требованию.
  • Ориентация на специфичные форматы документов (Hangul/HWP), что позволяет обходить часть стандартных средств защиты, не настроенных на анализ таких форматов.

Что это значит для организаций

Целенаправленные методы Group123, собственные семейства вредоносного ПО и эксплуатация оппортунистических уязвимостей представляют серьёзную угрозу для кибербезопасности в регионах их активности. Основные выводы для практики безопасности:

  • Своевременное применение патчей и обновлений — критически важно, особенно для устаревших и legacy‑систем.
  • Усиление защиты электронной почты и обучение пользователей против spearphishing‑атак.
  • Мониторинг и анализ HTTPS‑трафика, внедрение механизмов TLS‑инспекции там, где это допустимо и безопасно.
  • Внимание к анализу и фильтрации документов в форматах Hangul/HWP.
  • Развертывание EDR/IDS‑решений и обмен разведданными о угрозах с отраслевыми партнёрами.

В краткосрочной перспективе Group123 остаётся одной из активных и адаптивных угроз, требующих от организаций с высокой степенью приоритетности улучшения процессов управления уязвимостями и контроля по каналам доставки вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: