Кибершпионаж от APT-C-28: угроза для глобальной безопасности

Кибершпионаж от APT-C-28: угроза для глобальной безопасности

Институт перспективных исследований угроз 360 представил новый отчет о кибершпионских атаках, инициированных хакерской группировкой, связанной с Северной Кореей, известной как APT-C-28. Эта группа, действующая с 2012 года, расширила свои возможности, применила современные стратегии и нацелилась на ключевые сектора, включая государственные учреждения и корпоративные структуры.

Методы, используемые APT-C-28

Согласно отчету, APT-C-28, также известная как ScarCruft или APT37, активно использует передовые тактики кибершпионажа. Особенно стоит отметить:

  • Применение механизма доставки вредоносных программ без файлов для развертывания инструмента RokRat.
  • Фокус на краже конфиденциальных военных, экономических и политических данных.
  • Масштабные операции в стратегических отраслях, таких как аэрокосмическая и химическая промышленности, а также здравоохранение.

Эволюция RokRat

С 2016 года RokRat стал основным инструментом удаленного доступа (RAT) группы, обеспечивая постоянный доступ к сетям и незаконный сбор данных. Инфраструктура вредоносного ПО исторически опиралась на облачные сервисы, однако recent operations показывают стратегический сдвиг:

  • Внедрение вредоносных компонентов прямо во вложения фишинговых писем.
  • Использование зашифрованного шелл-кода в файлах LNK для сокращения связи с внешними серверами.

Работа с фишинговыми документами

Злоумышленники используют специально разработанные фишинговые письма с законным контентом, чтобы скрыть свою деятельность. Среди типичных документов:

  • Записи об экономическом сотрудничестве между Кореями.
  • Документы, маскирующиеся под официальные источники, связанные с делами Северной Кореи.

При запуске файл LNK активирует сценарии PowerShell для извлечения встроенных файлов, что дополнительно усложняет обнаружение вредоносного кода.

Современные охранные меры RokRat

Последние версии RokRat совершают значительные обновления в области защиты от криминалистической проверки. Ключевые изменения включают:

  • Сценарии для полного удаления записей запуска и следов в реестре.
  • Интеграция модульных команд для динамической корректировки атак.
  • Внедрение вредоносного ПО в легитимные процессы, такие как explorer.exe.

Эти методы затрудняют обнаружение со стороны систем безопасности, что создаёт дополнительные риски для организаций.

Заключение

Таким образом, усиливающиеся активности APT-C-28 — это ответ Северной Кореи на глобальную геополитическую напряженность, направленное на сбор разведывательной информации. Специалисты по кибербезопасности должны быть на чеку, чтобы защитить свои организации от потенциальных угроз, исходящих от данной хакерской группировки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: