Hakerska grupa APT37 (poznatiji kao ScarCruft, Reaper), koju sponzoriše država Sjeverna Koreja, identifikovana je kako koristi platforme za grupno četovanje za distribuciju malicioznih LNK datoteka.
Ova najnovija taktika naglašava evoluirajuće metode grupe za infiltriranje u sisteme i eksfiltriranje osjetljivih podataka.
Nedavna kampanja APT37 uključuje slanje malicioznih LNK datoteka putem grupnih razgovora na popularnim platformama za razmjenu poruka.
Ove datoteke su često ugrađene u ZIP arhive i prerušene poznatim ikonama i nazivima datoteka kako bi se zavarale mete.
Na primjer, napadači su koristili nazive datoteka kao što su “Promjene u politici kineske vlade prema Sjevernoj Koreji.zip” kako bi namamili žrtve da otvore fajl.
Analitičari u Genians-u su identifikovali da jednom kada se izvrši, LNK datoteka pokreće PowerShell komandu koja pokreće višestepeni lanac infekcije.
.webp)
Naredba dekodira i izvršava ugrađene skripte, što često dovodi do postavljanja malicioznog softvera RokRAT.
RokRAT je moćni trojanac za daljinski pristup (RAT) sposoban za eksfiltraciju podataka, snimanje ekrana i daljinsko izvršavanje naredbi.
Analiza napada
Maliciozne LNK datoteke sadrže ugrađene PowerShell komande koje izvršavaju skrivene skripte.
Ova skripta čita maliciozno opterećenje iz privremene datoteke ( bus.dat), dekodira ga i izvršava u memoriji.
Takve tehnike izvršavanja bez datoteka izbjegavaju tradicionalno antivirusno otkrivanje.
.webp)
APT37 koristi taktiku socijalnog inženjeringa tako što se predstavlja kao pojedinci ili organizacije od povjerenja. Na primjer, napadači su koristili teme poput geopolitičkih izvještaja ili materijala za predavanja kao mamac.
Ove datoteke često izgledaju legitimne, ali sadrže ugrađene OLE objekte ili skripte koje se aktiviraju nakon interakcije.
Primarni teret u ovim napadima često je RokRAT ili slične varijante malicioznog softvera. Ključne karakteristike uključuju:
- Eksfiltracija podataka: krađa kredencijala, snimaka ekrana i osjetljivih datoteka.
- Daljinsko upravljanje: izvršavanje komandi na zaraženim sistemima.
- Postojanost: ispuštanje dodatnih korisnih podataka u startup foldere za izvršenje nakon ponovnog pokretanja.
APT37 takođe koristi usluge cloud-a kao što su pCloud i OneDrive za operacije komandovanja i kontrole (C2), što dodatno komplikuje napore u otkrivanju.
Upotreba grupnih četova od strane APT37 kao mehanizma isporuke naglašava njihovu prilagodljivost i upornost u ciljanju južnokorejskih entiteta i šire. Organizacije moraju ostati budne i usvojiti proaktivne mjere sajber sigurnosti kako bi se suprotstavile takvim naprednim i upornim prijetnjama.
Izvor: CyberSecurityNews
