- Специальный корреспондент
Исследователи кибербезопасности выявили новую сложную атаку, приписываемую APT37 — северокорейской хакерской группе, известной также как ScarCruft, Reaper и Red Eyes. Группа, активная с 2012 года, расширила круг своих целей, включая не только Южную Корею, но и Японию, Вьетнам, страны Ближнего Востока, а также организации в сферах здравоохранения и промышленности.
В последней атаке злоумышленники использовали ZIP-файлы с замаскированными вредоносными ярлыками, предназначенными для распространения трояна удалённого доступа RokRat. По данным аналитика безопасности Мохамеда Эзата из ZW01f, вышеупомянутые файлы распространяются через фишинговые письма, выдаваемые за документы, которые касаются торговли или политической ситуации в Северной Корее. Эти письма выглядят убедительно, поскольку включают реальные сведения, заимствованные с официальных сайтов.
При открытии вредоносного ярлыка (LNK) жертва запускает сложную цепочку заражения. Файл содержит встроенный код, который выполняет команды PowerShell для извлечения нескольких компонентов: поддельного документа в формате HWPX (caption.dat), исполняемых данных (elephant.dat) и пакетного скрипта (shark.bat). Используемая техника помогает атакующим обходить системы защиты, анализирующие лишь начальный файл.
Далее «shark.bat» выполняет PowerShell-команду в скрытом окне, читая содержимое «elephant.dat» из временного каталога. Затем с помощью простого однобайтового XOR-ключа «d» расшифровывается «caption.dat», который загружается в память напрямую, используя функции Windows API, такие как VirtualProtect и CreateThread. Такой бесфайловый метод значительно снижает вероятность обнаружения антивирусными системами.
Финальная полезная нагрузка — троян RokRat, который собирает подробную информацию о системе: версию ОС, характеристики оборудования, список запущенных процессов и снимки экрана. Для управления заражёнными устройствами злоумышленники используют облачные сервисы pCloud, Yandex и Dropbox, маскируя сетевую активность под законные запросы Googlebot.
RokRat обладает низкой степенью детектирования, несмотря на свои продвинутые возможности. Вредоносная программа включает механизмы противодействия анализу, определяя виртуальные машины и среду отладки, что усложняет её изучение экспертами по кибербезопасности. Кроме того, она поддерживает удалённое выполнение команд, сканирование дисков, кражу файлов и загрузку дополнительных модулей, делая её эффективным инструментом кибер шпионажа и кражи данных.
Современные атаки становятся всё более изощрёнными, используя бесфайловые методы и облачные сервисы для скрытности. Чтобы снизить риск заражения, необходимо проверять вложения даже из знакомых источников, блокировать выполнение скриптов из почтовых вложений и использовать решения для поведенческого анализа угроз.
В последней атаке злоумышленники использовали ZIP-файлы с замаскированными вредоносными ярлыками, предназначенными для распространения трояна удалённого доступа RokRat. По данным аналитика безопасности Мохамеда Эзата из ZW01f, вышеупомянутые файлы распространяются через фишинговые письма, выдаваемые за документы, которые касаются торговли или политической ситуации в Северной Корее. Эти письма выглядят убедительно, поскольку включают реальные сведения, заимствованные с официальных сайтов.
При открытии вредоносного ярлыка (LNK) жертва запускает сложную цепочку заражения. Файл содержит встроенный код, который выполняет команды PowerShell для извлечения нескольких компонентов: поддельного документа в формате HWPX (caption.dat), исполняемых данных (elephant.dat) и пакетного скрипта (shark.bat). Используемая техника помогает атакующим обходить системы защиты, анализирующие лишь начальный файл.
Далее «shark.bat» выполняет PowerShell-команду в скрытом окне, читая содержимое «elephant.dat» из временного каталога. Затем с помощью простого однобайтового XOR-ключа «d» расшифровывается «caption.dat», который загружается в память напрямую, используя функции Windows API, такие как VirtualProtect и CreateThread. Такой бесфайловый метод значительно снижает вероятность обнаружения антивирусными системами.
Финальная полезная нагрузка — троян RokRat, который собирает подробную информацию о системе: версию ОС, характеристики оборудования, список запущенных процессов и снимки экрана. Для управления заражёнными устройствами злоумышленники используют облачные сервисы pCloud, Yandex и Dropbox, маскируя сетевую активность под законные запросы Googlebot.
RokRat обладает низкой степенью детектирования, несмотря на свои продвинутые возможности. Вредоносная программа включает механизмы противодействия анализу, определяя виртуальные машины и среду отладки, что усложняет её изучение экспертами по кибербезопасности. Кроме того, она поддерживает удалённое выполнение команд, сканирование дисков, кражу файлов и загрузку дополнительных модулей, делая её эффективным инструментом кибер шпионажа и кражи данных.
Современные атаки становятся всё более изощрёнными, используя бесфайловые методы и облачные сервисы для скрытности. Чтобы снизить риск заражения, необходимо проверять вложения даже из знакомых источников, блокировать выполнение скриптов из почтовых вложений и использовать решения для поведенческого анализа угроз.
