Изощренные кибератаки Velvet Chollima APT: новая угроза фишинга

Изощренные кибератаки Velvet Chollima APT против Южной Кореи: новый уровень социальной инженерии

В мае 2025 года эксперт по кибербезопасности Абдулрехман Али опубликовал подробный отчет, раскрывающий масштаб и технологии современных киберопераций, связанных с северокорейской группировкой Velvet Chollima APT. Целью атак были южнокорейские чиновники, крупные международные НПО и СМИ. В основе расследования лежат данные Microsoft Threat Intelligence и Bleeping Computer.

Суть угрозы: скрытый фишинг и новая тактика социальной инженерии

С начала 2025 года группа Velvet Chollima APT осуществляет серию сложных атак с использованием методов скрытого фишинга. Их главная цель — обманом заставить жертв взаимодействовать с вредоносным контентом, который в конечном итоге обеспечивает удаленный контроль над системами.

Механика атаки выглядит следующим образом:

• Рассылка специально сгенерированных электронных писем с вложениями PDF;
• При открытии PDF пользователь направляется на поддельную страницу с капчей;
• Внедрение новой тактики социальной инженерии, получившей название “ClickFix”;
• Поддельная капча побуждает жертву запускать вредоносные команды PowerShell от имени администратора;
• Вредоносная команда автоматически копируется в буфер обмена, упрощая выполнение жертвой;
• В результате создается обратная оболочка, соединяющая устройство с сервером управления (C2) злоумышленников.

Технические детали атаки и ее последствия

После выполнения команды жертвой злоумышленники получают мощный удаленный доступ, который позволяет им:

• выполнять команды на скомпрометированной машине;
• извлекать конфиденциальную информацию;
• встраивать дополнительные вредоносные программы;
• захватывать корпоративные сети, если устройство подключено к рабочей инфраструктуре.

Для обеспечения долговременного контроля злоумышленники также модифицируют реестр Windows. В частности, они добавляют ключ запуска, который гарантирует автоматический запуск вредоносных команд при загрузке системы, что делает удаленный доступ устойчивым даже после перезагрузки компьютера.

Риски и меры противодействия

Данная кампания демонстрирует высокую эффективность комбинации социальной инженерии и технических эксплойтов. Основные уязвимости здесь связаны с человеческим фактором — злоумышленники умело используют доверие пользователей, вводя их в заблуждение.

Эксперт Абдулрехман Али отмечает: Подход Velvet Chollima APT group, особенно технология ClickFix, подчеркивает необходимость повышения осведомленности потенциальных жертв и пользователей. Особенно это критично для государственных органов и организаций с высокой степенью риска.

Для минимизации угроз рекомендуется:

• повышать уровень киберграмотности сотрудников, обучая их распознавать опасные фишинговые техники;
• внедрять многофакторную аутентификацию и ограничивать привилегии при исполнении команд PowerShell;
• использовать системы обнаружения подозрительных действий и модификаций реестра;
• постоянно обновлять антивирусные и мониторинговые решения.

Заключение

Взломы с применением инновационной тактики ClickFix от Velvet Chollima APT наглядно показывают, насколько опасны современные методы социальной инженерии в сочетании с техническими уязвимостями. Отчет Абдулрехмана Али служит предупреждением для южнокорейских и международных организаций о необходимости комплексного подхода к кибербезопасности — объединяющего технологии и обучение пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.