ИБ мэмы и не только
Image

ИБ мэмы и не только

Твои данные всё равно утекут. Так хоть посмейся перед этим. Лучшие мэмы и суровая правда про ИБ.

«Здравствуйте, я журналист, заполните анкету». Как хакеры из КНДР «разводят» южнокорейских экспертов

ScarCruft APT37 Genians RoKRAT HWP DLL Sideloading кибершпионаж
«Здравствуйте, я журналист, заполните анкету». Как хакеры из КНДР «разводят» южнокорейских экспертов
ScarCruft APT37 Genians RoKRAT HWP DLL Sideloading кибершпионаж

Операция Artemis показала, насколько уязвимы современные каналы связи.

image

В ходе масштабной вредоносной кампании под названием Operation Artemis, северокорейская хакерская группа APT37, также известная как ScarCruft, применила сложную тактику атак с использованием южнокорейского текстового редактора HWP и технологии подмены DLL-библиотек. Целью операции стали специалисты из Южной Кореи, преимущественно из сфер, связанных с политикой, СМИ и международными отношениями. Входным каналом атаки служили фишинговые письма с поддельными предложениями об интервью или участии в мероприятиях.

По данным южнокорейской компании Genians, злоумышленники выдавали себя за тележурналистов и учёных, рассылая потенциальным жертвам HWP-документы, замаскированные под анкеты или приглашения. Внутри документов скрывался OLE-объект, запускавший цепочку действий, в результате которой происходила загрузка вредоносной библиотеки через подмену DLL в контексте легитимного процесса. Такой подход позволял обходить сигнатурную защиту и затруднял анализ.

Особое внимание в отчёте Genians уделено использованию стеганографии: вредоносные данные маскировались в изображениях, в том числе ранее не зафиксированных портретах, что обеспечивало дополнительную скрытность. Также выявлены случаи повторного использования ранее применявшихся сценариев атак, вплоть до совпадения строк путей к отладочной информации (PDB), что указывает на систематическую работу одного и того же участника угрозы.

Модули вредоносной активности, такие как «version.dll», выполнялись через инструменты Sysinternals, позволявшие подгрузить вредоносный код под видом обычных служебных программ. Такой способ обходил статическую проверку на наличие подозрительных исполняемых файлов. Загруженная библиотека расшифровывала вредоносную нагрузку поэтапно, используя XOR с различными ключами, в том числе на уровне SSE, что ускоряло выполнение и повышало устойчивость к анализу.

Финальной целью кампании было внедрение и активация инструмента удалённого доступа семейства RoKRAT, широко применяемого APT37. Он позволял осуществлять скрытую связь с серверами управления, перехватывать данные и выполнять команды на заражённой машине.

Каналами связи служили коммерческие облачные платформы. Использование таких сервисов не только маскировало вредоносный трафик под легитимный, но и усложняло блокировку на сетевом уровне. Анализ показал, что злоумышленники заранее регистрировали учётные записи в обоих облаках, используя одинаковые идентификаторы, что подтверждает стратегическую связность их инфраструктуры.

В отчёте подчёркивается, что APT37 действует методично и продолжает совершенствовать тактики обхода защиты. Используемые приёмы направлены не только на уклонение от обнаружения, но и на повышение устойчивости к анализу и форензике. Это требует от организаций пересмотра подходов к защите — в частности, применения EDR-решений с возможностями поведенческого анализа и отслеживания активности в реальном времени.

Обнаружение таких атак возможно лишь при наличии инструментов, способных анализировать не только отдельные события, но и всю цепочку действий — от открытия документа до выхода на облачную инфраструктуру. Только таким образом можно своевременно выявить скрытую активность, локализовать заражение и предотвратить утечку информации.