СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.02.2025
#ИБ#Инфра

Угроза кибернападений: северокорейские APT против гражданского общества

Угроза кибернападений: северокорейские APT против гражданского общества

Продолжающееся исследование подчеркивает растущее число хакеров, с которыми сталкиваются организации гражданского общества (ОГО) в Южной Корее. Особое внимание уделяется северокорейским хакерским группам, таким как APT37 и Kimsuky, которые активно нацеливаются на активистов, журналистов и правозащитников.

Методы атаки и вредоносное ПО

Хакеры применяют различные изощренные методы и вредоносное ПО, включая:

  • ROKRAT
  • RambleOn

Методология исследования включает углубленный анализ вредоносных программ и корреляцию данных об угрозах, используя:

  • пассивный мониторинг DNS
  • анализ электронной почты
  • методы кластеризации

Профиль групп APT37 и Kimsuky

APT37, организация, приписываемая правительству Северной Кореи, действует по меньшей мере с 2012 года, занимаясь шпионажем против южнокорейских и японских организаций. Основные методы их атаки включают:

  • скрытый фишинг
  • размещение вредоносных документов с использованием уязвимостей в программном обеспечении, таком как HWP (текстовый процессор Hangul)
  • использование прогрессивных вредоносных программ для удаленного доступа и утечки данных

Эволюция ROKRAT привела к его трансформации из простого бэкдора в сложное шпионское ПО, способное собирать SMS-сообщения и аудиоданные. Кимсуки применяет аналогичные тактики с использованием социальной инженерии.

Новая угроза: RambleOn

Исследование выявило новую вредоносную программу для Android под названием RambleOn, предназначенную для журналистов, освещающих события в Северной Корее. Это подчеркивает, насколько адаптивны и изощрены северокорейские хакеры.

Роль организаций гражданского общества

В отчете подчеркивается жизненно важная роль организаций гражданского общества в выявлении и устранении киберугроз. В отличие от организаций частного сектора, которые зависят от данных телеметрии, ОГО поддерживают прямой контакт с жертвами, что позволяет:

  • собирать информацию о векторах и методах атак
  • выявлять схемы атак более эффективно

Анализ угроз и фишинг

Социальная инженерия стала основным направлением атак. Многие из них инициировались с помощью фишинговых электронных писем, которые часто имели вид уважаемых организаций или частных лиц. Это указывает на:

  • тщательную стратегию таргетинга
  • использование уязвимостей человека

Анализ показал, что фишинговые сообщения зачастую касались технической поддержки или политических тем, особенно связанных с Северной Кореей.

Заключение

Исследование выделило CVE-2022-41128 как важный инструмент для атак, подчеркивая необходимость улучшения анализа угроз, характерных для организаций гражданского общества. В условиях недостаточного выявления угроз, актуальность улучшения контроля и анализа киберугроз продолжает расти.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: