СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
20.08.2025
#Dev#ИБ#Облака

Хакеры с марта активно атакуют иностранные посольства в Южной Корее

Хакеры с марта активно атакуют иностранные посольства в Южной Корее

Изображение: Daniel Bernard (unsplash)

Исследователи Trellix зафиксировали масштабную кибершпионскую операцию, направленную против иностранных посольств в Сеуле. Кампания, активная с марта 2025 года, использует вредоносное ПО XenoRAT, распространяемое через фишинговые письма и вредоносные архивы, размещённые на платформах хранения данных.

Согласно данным специалистов, к настоящему моменту проведено не менее 19 целевых атак. Основная цель — дипломатические миссии, преимущественно европейские. Приманки в фишинговых письмах имитировали официальные документы, приглашения на встречи и уведомления о политических или военных событиях.

Исследователи утверждают, что методы и структура кампании частично совпадают с тактикой северокорейской группировки Kimsuky (APT43), однако некоторые признаки указывают на возможное китайское происхождение атаки.

Атаки проводились в несколько этапов:

  • Март: стартовое тестирование схем, первая атака была направлена на посольство страны Центральной Европы;
  • Май: переход к более сложным сценариям — злоумышленники начали рассылку писем от имени высокопоставленных представителей дипломатических делегаций, ссылаясь на «консультативные встречи» и политические мероприятия;
  • Июнь–июль: тематика сообщений стала касаться военного сотрудничества США и Южной Кореи.

Отправленные письма отличались высокой степенью контекстуальности. Они были адаптированы под язык и дипломатическую повестку конкретных стран, использовались корейский, английский, французский, арабский, персидский и русский языки. В качестве дополнительных средств маскировки использовались реально происходящие события, к которым приурочивались сообщения.

Механизм доставки вредоносного кода оставался единым на всех этапах. Атакующие рассылали защищённые паролем ZIP-архивы через Dropbox, Google Drive или южнокорейский Daum. Внутри находился LNK-файл, замаскированный под PDF-документ. При запуске активировался PowerShell-скрипт, загружающий XenoRAT из репозиториев на GitHub или из облачного хранилища. Устойчивость обеспечивалась через систему запланированных задач.

XenoRAT представляет собой универсальный инструмент удалённого доступа. Он позволяет атакующим:

  • регистрировать нажатия клавиш;
  • делать снимки экрана;
  • активировать микрофон и камеру;
  • получать файлы с заражённого устройства;
  • управлять системой через удалённую оболочку.
Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: