- 20,222
- 46
- 8 Ноя 2022
Северная Корея перешла в наступление на киберфронте.
Северокорейская группировка APT37 (ScarCruft, InkySquid, Reaper и Ricochet Chollima) организовала масштабную шпионскую кампанию под кодовым названием Operation HanKook Phantom, направленную против правительственных и исследовательских организаций Южной Кореи и других стран региона.
Специалисты Seqrite обнаружили , что злоумышленники используют поддельные документы, маскирующиеся под бюллетени исследовательского сообщества «Национальное разведывательное общество». Один из таких файлов представляет собой вредоносный ярлык (.LNK), который запускает цепочку загрузки и выполнения встроенных полезных нагрузок.
В результате атаки могут быть скомпрометированы академики, бывшие чиновники, сотрудники профильных НИИ и другие лица, указанные в рассылке. Целью операции являются кража конфиденциальных данных, закрепление в системе и кибершпионаж. География целей APT37 выходит за пределы Южной Кореи. Подтвержденные жертвы находятся также в Японии, Вьетнаме, Непале, Китае, Индии, Румынии, Кувейте, России и странах Ближнего Востока.
После запуска ярлыка PowerShell-скрипт извлекает встроенные компоненты из LNK-файла: поддельный PDF-документ, исполняемый загрузчик (dat) и финальную полезную нагрузку. Эти элементы сохраняются во временную директорию, где скрипт запускает BAT-файл и исполняет код напрямую в памяти. Зашифрованный DLL-файл расшифровывается через XOR с ключом 0x35 и внедряется с помощью WinAPI — GlobalAlloc, VirtualProtect, CreateThread.
Финальный бинарный файл имеет признаки принадлежности к семейству ROKRAT и выполняет сбор системной информации, захват экрана, анализ структуры дисков, внедрение команд и загрузку новых вредоносных компонентов с C2-серверов через облачные сервисы: Dropbox, pCloud и Яндекс.Диск.
Во второй волне использовался документ с официальным заявлением заместителя заведующего отдела ЦК Трудовой партии Кореи Ким Ё-джон от 28 июля, опубликованным агентством KCNA. Текст выражал резкое неприятие любых инициатив южнокорейского правительства и завершался заявлением о том, что эпоха национального единства закончена, а дальнейшие отношения будут строиться на конфронтации.
Целями этой фазы стали структуры, связанные с администрацией президента Ли Чжэ Мёна, Министерством объединения Кореи, KCNA, альянсом ROK–US, а также APEC.
Вредоносная активность начиналась с ярлыка, запускающего PowerShell через BAT-скрипт tony33.bat. Он расшифровывал базовый 64-код из tony32.dat, выполнял его в памяти, а затем загружал зашифрованный бинарный файл tony31.dat, шифрованный XOR-ключом 0x37. Расшифрованная нагрузка выполнялась через вызовы WinAPI с полным обходом файловой системы.
Функции sub_401360 и sub_4021F0 реализуют алгоритм скрытого сбора и отправки информации. Файлы из временных каталогов архивируются, маскируются под PDF, и отправляются на адрес злоумышленников. Данные включают имя компьютера, метки времени и упакованы в структуру multipart/form-data, имитируя загрузку через Chrome. После отправки оригинальные файлы удаляются, что затрудняет восстановление следов.
На следующем этапе малварь загружает новую полезную нагрузку с сервера. Затем запускается PowerShell-процесс с загруженным кодом, выполняется Sleep, и файл abs.tmp удаляется через DeleteFileW.
Operation HanKook Phantom — это продолжение агрессивной кибершпионской активности APT37 с акцентом на обход защитных механизмов, скрытное выполнение вредоносного кода в памяти и сложные техники эксфильтрации данных. Группа эффективно использует доверительные документы, облачные платформы и встроенные средства Windows, избегая использования традиционных вредоносных файлов. Специалисты рекомендуют усилить защиту от LNK-файлов, следить за аномальной активностью PowerShell, мониторить обращения к облачным API и HTTP-запросы с подозрительными параметрами MIME.
Северокорейская группировка APT37 (ScarCruft, InkySquid, Reaper и Ricochet Chollima) организовала масштабную шпионскую кампанию под кодовым названием Operation HanKook Phantom, направленную против правительственных и исследовательских организаций Южной Кореи и других стран региона.
Специалисты Seqrite обнаружили , что злоумышленники используют поддельные документы, маскирующиеся под бюллетени исследовательского сообщества «Национальное разведывательное общество». Один из таких файлов представляет собой вредоносный ярлык (.LNK), который запускает цепочку загрузки и выполнения встроенных полезных нагрузок.
В результате атаки могут быть скомпрометированы академики, бывшие чиновники, сотрудники профильных НИИ и другие лица, указанные в рассылке. Целью операции являются кража конфиденциальных данных, закрепление в системе и кибершпионаж. География целей APT37 выходит за пределы Южной Кореи. Подтвержденные жертвы находятся также в Японии, Вьетнаме, Непале, Китае, Индии, Румынии, Кувейте, России и странах Ближнего Востока.
После запуска ярлыка PowerShell-скрипт извлекает встроенные компоненты из LNK-файла: поддельный PDF-документ, исполняемый загрузчик (dat) и финальную полезную нагрузку. Эти элементы сохраняются во временную директорию, где скрипт запускает BAT-файл и исполняет код напрямую в памяти. Зашифрованный DLL-файл расшифровывается через XOR с ключом 0x35 и внедряется с помощью WinAPI — GlobalAlloc, VirtualProtect, CreateThread.
Финальный бинарный файл имеет признаки принадлежности к семейству ROKRAT и выполняет сбор системной информации, захват экрана, анализ структуры дисков, внедрение команд и загрузку новых вредоносных компонентов с C2-серверов через облачные сервисы: Dropbox, pCloud и Яндекс.Диск.
Во второй волне использовался документ с официальным заявлением заместителя заведующего отдела ЦК Трудовой партии Кореи Ким Ё-джон от 28 июля, опубликованным агентством KCNA. Текст выражал резкое неприятие любых инициатив южнокорейского правительства и завершался заявлением о том, что эпоха национального единства закончена, а дальнейшие отношения будут строиться на конфронтации.
Целями этой фазы стали структуры, связанные с администрацией президента Ли Чжэ Мёна, Министерством объединения Кореи, KCNA, альянсом ROK–US, а также APEC.
Вредоносная активность начиналась с ярлыка, запускающего PowerShell через BAT-скрипт tony33.bat. Он расшифровывал базовый 64-код из tony32.dat, выполнял его в памяти, а затем загружал зашифрованный бинарный файл tony31.dat, шифрованный XOR-ключом 0x37. Расшифрованная нагрузка выполнялась через вызовы WinAPI с полным обходом файловой системы.
Функции sub_401360 и sub_4021F0 реализуют алгоритм скрытого сбора и отправки информации. Файлы из временных каталогов архивируются, маскируются под PDF, и отправляются на адрес злоумышленников. Данные включают имя компьютера, метки времени и упакованы в структуру multipart/form-data, имитируя загрузку через Chrome. После отправки оригинальные файлы удаляются, что затрудняет восстановление следов.
На следующем этапе малварь загружает новую полезную нагрузку с сервера. Затем запускается PowerShell-процесс с загруженным кодом, выполняется Sleep, и файл abs.tmp удаляется через DeleteFileW.
Operation HanKook Phantom — это продолжение агрессивной кибершпионской активности APT37 с акцентом на обход защитных механизмов, скрытное выполнение вредоносного кода в памяти и сложные техники эксфильтрации данных. Группа эффективно использует доверительные документы, облачные платформы и встроенные средства Windows, избегая использования традиционных вредоносных файлов. Специалисты рекомендуют усилить защиту от LNK-файлов, следить за аномальной активностью PowerShell, мониторить обращения к облачным API и HTTP-запросы с подозрительными параметрами MIME.
- Источник новости
- www.securitylab.ru
