СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.08.2025
#ИБ#ИИ

Операция HanKook Phantom: APT37 и вредоносный LNK‑файл

Операция HanKook Phantom: APT37 и вредоносный LNKфайл

Северокорейская группа сложных целенаправленных атак APT37 проводит кампанию под названием HanKook Phantom, нацеленную на организации в Южной Корее. Злоумышленники применяют обманную тактику — распространяют документ, внешне похожий на официальный бюллетень, и прикрепляют к нему вредоносный ярлык, который запускает компрометацию при взаимодействии пользователя.

Суть атаки

Атака использует следующую последовательность действий:

  • Жертве направляется PDF-документ или имитация официального выпуска (в данном случае — «Информационный бюллетень Национального разведывательного исследовательского общества — выпуск 52»).
  • Файл сопровождается вредоносным ярлыком с именем (52).pdf.LNK, который намеренно сделан видимым как связанный с PDF-документом.
  • Выполнение файла LNK инициирует загрузку вредоносной полезной нагрузки или выполнение команд, приводящих к компрометации системы.

Почему злоумышленники используют LNK

Использование файлов LNK — это осознанная тактика: ярлыки Windows могут выступать в качестве эффективного средства доставки вредоносного ПО. Основные преимущества этого подхода для атакующих:

  • Визуальное сходство с легитимными файлами (например, PDF) повышает шансы на ошибку со стороны пользователя.
  • Windows по умолчанию позволяет ярлыкам инициировать выполнение команд и запускать загрузчиков, что дает злоумышленникам механизм для доставки полезной нагрузки.
  • LNK-файлы часто обделены вниманием систем фильтрации и пользователей — их легко использовать в целевых фишинговых кампаниях.

Риски и последствия для организаций

Применение такой техники увеличивает вероятность успешного проникновения и последующей активности злоумышленников: сбор учетных данных, развертывание дополнительных модулей, горизонтальное перемещение по сети и утечка данных. Особую опасность представляют атаки, направленные на государственные и исследовательские учреждения в Южной Корее, где APT37 уже проявляла интерес к политически важной и чувствительной информации.

Рекомендации по защите

Для уменьшения рисков и повышения устойчивости к подобным кампаниям стоит внедрить несколько практических мер:

  • Обучение сотрудников: регулярные тренинги по распознаванию фишинга и осторожному обращению с вложениями.
  • Показывать расширения файлов и запрещать запуск подозрительных .LNK-файлов из входящей почты.
  • Использовать инструменты EDR/AV с возможностью детонации файлов в sandbox и корреляции поведенческих индикаторов.
  • Ограничивать права пользователей по принципу наименьших привилегий и применять жесткую сегментацию сети.
  • Блокировать известные каналы C2 и подозрительные домены, контролировать исходящие соединения на уровне периметра и EDR.
  • Внедрять политики обработки вложений: конвертация потенциально опасных форматов, сканирование и ручной анализ перед доставкой пользователю.

Вывод

Операция HanKook Phantom демонстрирует, что APT37 продолжает эволюционировать в использовании социальной инженерии и тактик обхода защиты. Основной вектор — комбинирование доверительного внешнего вида документов и механизмов Windows (LNK) — делает такие кампании эффективными. Комплексная защита, включающая технические средства, процессы и обучение пользователей, остаётся ключом к снижению рисков.

«Использование файлов LNK встраиваемых в кажущиеся безобидными документы подчёркивает текущие угрозы, исходящие от APT37, и выделяет тактику, используемую для проникновения в целевые сети».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: