APT-C-28 модернизировала свои инструменты, защитить ценные данные стало ещё сложнее.
Специалисты безопасности из компании 360 Threat Intelligence Center недавно выявили новую волну атак северокорейской группировки APT-C-28, также известной как ScarCruft и APT37. Эти атаки были нацелены на государственные учреждения и крупный бизнес Южной Кореи.
В ходе расследования было установлено, что злоумышленники рассылали фишинговые письма от имени популярных корейских банков и торговых сетей. В письмах содержались вредоносные вложения в виде архивов ZIP и RAR.
Эксперты проанализировали содержимое архивов и обнаружили несколько типов поддельных документов на корейском языке для привлечения внимания жертв, в том числе анкеты и формы для сбора персональных данных. Помимо этого, архивы включали вредоносные файлы LNK, BAT и CHM для запуска вредоносной программы Chinotto.
Chinotto представляет собой передовой бэкдор, разработанный хакерами APT-C-28. После запуска на заражённом компьютере вредоносная программа устанавливает скрытый канал связи с удалённым сервером злоумышленников и ожидает команд. Хакеры могут посылать Chinotto команды на сбор разведданных, загрузку файлов с компьютера жертвы или установку дополнительных вредоносных модулей.
Как отмечают исследователи, хакерская группа APT-C-28 демонстрирует высокую степень профессионализма и регулярно модернизирует свои инструменты. Например, в текущей волне атак в Chinotto был добавлен функционал для сбора дополнительных данных о системе, а также новые методы сокрытия следов своей деятельности. Кроме того, одна и та же вредоносная программа распространялась в разных шифровках и кодировках.
Эксперты рекомендуют организациям и частным пользователям соблюдать меры информационной безопасности — не запускать подозрительные файлы из непроверенных источников, использовать антивирусное ПО и регулярно обновлять программное обеспечение.
Никаких овечек — только отборные научные факты