Эволюция атак APT-C-06: фишинг и новые методы обхода защиты

APT-C-06 возобновляет атаки с новыми вредоносными пакетами и усовершенствованными методами обхода защиты

В феврале 2025 года известная хакерская группа APT-C-06 запустила новую кампанию, используя вредоносные установочные пакеты для инсталляции сертификатов. Распространение происходило посредством фишинговых электронных писем, что позволило атакующим расширить круг жертв и усовершенствовать свои методы проникновения. Новая атака напоминает предыдущую, проведённую в начале 2024 года, однако её масштабы и техническая реализация заметно эволюционировали.

Особенности атаки

Основные цели атаки — торговый персонал и другие сотрудники, связанные с Северной Кореей. При этом расширилась география и численность потенциальных жертв. Вредоносная полезная нагрузка была замаскирована под установочные пакеты на корейском языке. В фишинговом письме содержался архив с именем (2025).zip, что переводится как «электронный сертификат для обслуживания».

• Внутри архива находился файл cert.msi, запуск которого инициировал цепочку вредоносных действий.
• После запуска вредоносный компонент обеспечивал постоянное присутствие в системе жертвы.
• Для дополнительного обмана пользователя выполнялся PowerShell скрипт, который отображал легитимно выглядящее изображение, вводя пользователя в заблуждение и создавая иллюзию законности установки.

Эволюция тактики APT-C-06

Интересно, что группа переходит от сложных эксплойтов и использования уязвимостей к более рациональным и инновационным способам доставки вредоносной полезной нагрузки. Теперь атаки основаны на простейших, но эффективных механизмах, что снижает риск обнаружения и упрощает процесс внедрения.

Структура вредоносного ПО включает типичные для таких программ операции:

• Расшифровка параметров конфигурации.
• Извлечение шеллкода из основной программы.
• Запуск переносимого исполняемого файла (PE) для выполнения задач «мягкого уничтожения» (soft kill) и реализации защитных мер против отладки.

Обход защиты и отключение Microsoft Defender

Злоумышленники особенно заботятся о нейтрализации систем безопасности Microsoft Defender. Вредоносная программа отключает меры безопасности антивируса, адаптируя стандартное поведение системы в зависимости от уровня угрозы. Это приводит к снижению эффективности облачной защиты и увеличивает риск успешного внедрения вредоносного кода.

Использование уязвимых драйверов и методика BYOVD

В кампании APT-C-06 обнаружены два системных драйвера с MD5-хэшами:

• 21e13f2cb269dfeae5e1d09887d47bb
• f53fa44c7b591a2be105344790543369

Эти драйверы связаны с технологией Zemana и используются для прекращения работы конкурирующих вредоносных программ. Хакеры применяют методику BYOVD (Bring Your Own Vulnerable Driver), используя уязвимости в легитимных драйверах для повышения привилегий и обхода протоколов безопасности.

Посредством специальных кодов управления вводом-выводом (IOCTL) для дескрипторов устройств этих драйверов в сочетании с идентификаторами процессов целевого ПО злоумышленникам удалось успешно завершать нежелательные процессы, что демонстрирует стратегическую и техническую эволюцию их подхода к кибератакам.

Выводы

Активность группы APT-C-06 свидетельствует о том, что гибридный подход, сочетающий фишинг и использование уязвимых компонентов системы, остаётся эффективным средством атаки, даже несмотря на рост уровня защиты в современных организациях.

Для минимизации рисков рекомендуется повысить внимание к фишинговым уведомлениям, регулярно обновлять системы безопасности и тщательно мониторить процессы, связанные с работой установочных пакетов и драйверов в системе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.