«Псевдоохотники»: как хакеры-призраки годами шпионят за Южной Кореей

APT-C-60 360 Advanced Threat Research Institute Корея APT
«Псевдоохотники»: как хакеры-призраки годами шпионят за Южной Кореей
APT-C-60 360 Advanced Threat Research Institute Корея APT

Специалисты разгадали механику опасной и опытной группировки.

image

Группировка APT -C-60, известная как «Псевдоохотники», продолжает проводить кибершпионские кампании, нацеленные на госструктуры, бизнес и культурные организации Южной Кореи.

Специалисты 360 Advanced Threat Research Institute впервые зафиксировали активность APT-группы в 2018 году, но ретроспективный анализ показал, что атаки ведутся как минимум с 2014 года. Основные задачи злоумышленников — скрытное наблюдение за заражёнными устройствами и кража конфиденциальных данных.

За последние 6 лет исследователи проанализировали тысячи вредоносных образцов, выявив характерные изменения в используемых инструментах. Все атакующие инструменты можно разделить на пять ключевых категорий: Observer Installer, Observer, Backdoor Installer, Backdoor и Plugin. Компоненты позволяют атакующим сначала проникнуть в систему, затем закрепиться в ней, а после — осуществлять сбор данных и выполнять команды.

  • Observer Installer играет роль первой волны атаки, загружая вредоносное ПО и обеспечивая скрытный запуск в системе. До 2023 года активно использовались JS и BMP загрузчики, но за последний год появились новые методы, повышающие стойкость угрозы;
  • Observer отвечает за разведку. Компонент собирает информацию о системе жертвы и передаёт атакующим, которые решают, стоит ли развивать атаку дальше. Анализ версий Observer с 2018 по 2024 год показал, что злоумышленники постепенно улучшали сбор данных, меняли шифрование и добавляли новые методы уклонения от обнаружения;
  • Backdoor Installer и Backdoor обеспечивают основной контроль над системой жертвы. Установка производится скрытно, через подмену системных файлов и использование уникальных методов шифрования. Используются стандартные команды управления, включая сбор информации, удалённое выполнение команд, управление процессами и кражу файлов;
  • Plugin. Такие модули расширяют функциональность, позволяя записывать нажатия клавиш, делать скриншоты, извлекать файлы и даже внедрять новые уязвимости в систему.

По мере развития группировки менялись и методы сокрытия вредоносного кода. Если в 2018 году активно использовались стандартные методы AES-шифрования, то к 2024 году основным трендом стали сложные XOR-алгоритмы, модифицированные версии base64 и даже стеганография, использующая BMP-файлы для доставки полезной нагрузки.

APT-C-60 остаётся активным и технически продвинутым игроком в кибершпионском мире. Эксперты рекомендуют организациям повышать уровень кибербезопасности, внедрять методы поведенческого анализа угроз и регулярно обновлять защитные системы для противодействия подобным атакам.

«Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали
Подпишитесь, чтобы собрать полную картину