Хакеры обошли зашиту правительственных сетей. И при чём здесь Яндекс.Диск?

Северокорейская группировка APT37 (ScarCruft, InkySquid, Reaper и Ricochet Chollima) организовала масштабную шпионскую кампанию под кодовым названием Operation HanKook Phantom, направленную против правительственных и исследовательских организаций Южной Кореи и других стран региона.

Специалисты Seqrite обнаружили, что злоумышленники используют поддельные документы, маскирующиеся под бюллетени исследовательского сообщества «Национальное разведывательное общество». Один из таких файлов представляет собой вредоносный ярлык (.LNK), который запускает цепочку загрузки и выполнения встроенных полезных нагрузок.

В результате атаки могут быть скомпрометированы академики, бывшие чиновники, сотрудники профильных НИИ и другие лица, указанные в рассылке. Целью операции являются кража конфиденциальных данных, закрепление в системе и кибершпионаж. География целей APT37 выходит за пределы Южной Кореи. Подтвержденные жертвы находятся также в Японии, Вьетнаме, Непале, Китае, Индии, Румынии, Кувейте, России и странах Ближнего Востока.

После запуска ярлыка PowerShell-скрипт извлекает встроенные компоненты из LNK-файла: поддельный PDF-документ, исполняемый загрузчик (dat) и финальную полезную нагрузку. Эти элементы сохраняются во временную директорию, где скрипт запускает BAT-файл и исполняет код напрямую в памяти. Зашифрованный DLL-файл расшифровывается через XOR с ключом 0x35 и внедряется с помощью WinAPI — GlobalAlloc, VirtualProtect, CreateThread.

Финальный бинарный файл имеет признаки принадлежности к семейству ROKRAT и выполняет сбор системной информации, захват экрана, анализ структуры дисков, внедрение команд и загрузку новых вредоносных компонентов с C2-серверов через облачные сервисы: Dropbox, pCloud и Яндекс.Диск.

Во второй волне использовался документ с официальным заявлением заместителя заведующего отдела ЦК Трудовой партии Кореи Ким Ё-джон от 28 июля, опубликованным агентством KCNA. Текст выражал резкое неприятие любых инициатив южнокорейского правительства и завершался заявлением о том, что эпоха национального единства закончена, а дальнейшие отношения будут строиться на конфронтации.

Целями этой фазы стали структуры, связанные с администрацией президента Ли Чжэ Мёна, Министерством объединения Кореи, KCNA, альянсом ROK–US, а также APEC.

Вредоносная активность начиналась с ярлыка, запускающего PowerShell через BAT-скрипт tony33.bat. Он расшифровывал базовый 64-код из tony32.dat, выполнял его в памяти, а затем загружал зашифрованный бинарный файл tony31.dat, шифрованный XOR-ключом 0x37. Расшифрованная нагрузка выполнялась через вызовы WinAPI с полным обходом файловой системы.

Функции sub_401360 и sub_4021F0 реализуют алгоритм скрытого сбора и отправки информации. Файлы из временных каталогов архивируются, маскируются под PDF, и отправляются на адрес злоумышленников. Данные включают имя компьютера, метки времени и упакованы в структуру multipart/form-data, имитируя загрузку через Chrome. После отправки оригинальные файлы удаляются, что затрудняет восстановление следов.

На следующем этапе малварь загружает новую полезную нагрузку с сервера. Затем запускается PowerShell-процесс с загруженным кодом, выполняется Sleep, и файл abs.tmp удаляется через DeleteFileW.

Operation HanKook Phantom — это продолжение агрессивной кибершпионской активности APT37 с акцентом на обход защитных механизмов, скрытное выполнение вредоносного кода в памяти и сложные техники эксфильтрации данных. Группа эффективно использует доверительные документы, облачные платформы и встроенные средства Windows, избегая использования традиционных вредоносных файлов. Специалисты рекомендуют усилить защиту от LNK-файлов, следить за аномальной активностью PowerShell, мониторить обращения к облачным API и HTTP-запросы с подозрительными параметрами MIME.