APT37 удари: Нова задна врата на Rust застрашава южнокорейските потребители!

APT37 удари: Нова задна врата на Rust застрашава южнокорейските потребители!

Нова вълна от атаки предизвиква вълнение в динамичния свят на киберсигурността: Севернокорейската APT група APT37, известна още като LScarCruft, Ruby Sleet или Velvet Chollima, значително разшири своя арсенал от зловреден софтуер. Това, което особено привлича вниманието, е нова задна вратичка, базирана на езика за програмиране Rust, наречена „Rustonotto“, която атакува специално Windows системи. Security Insider публикува тази информация.

Моделите на атака на APT37 са регистрирани основно в Южна Корея. Тези атаки използват злонамерени преки пътища на Windows или файлове с компилирана HTML помощ (CHM) като входна точка. Всички дейности се извършват през един команден и контролен сървър, така че нападателите поддържат контрол над проникналите системи. Анализът на заплахите от ThreatLabz на Zscaler ясно показва, че Rustonotto е активен от юни 2025 г. и е първият известен базиран на Rust злонамерен софтуер от тази група.

Единствен достъп и сложни техники

Изглежда, че атаките не са насочени срещу компании или правителствени организации, а по-скоро са насочени към лица, свързани с режима на Северна Корея или чувствителни политически въпроси в Южна Корея. APT37 използва комбинация от няколко компонента на зловреден софтуер, включително инструмента за наблюдение „FadeStealer“, който не само улавя натискания на клавиши, но също така прави екранни снимки и записва аудио данни. След това тези данни се компресират в защитени с парола RAR архиви и се прехвърлят към сървъра C2. Анализите на сигурността показват, че компрометът се осъществява чрез използването на мерки за защита от откриване, като Transactional NTFS и Process Doppelganging, което прави откриването на зловреден софтуер още по-трудно, както Cyberpress обяснява.

Планирана задача, маскирана като „MicrosoftUpdate“, редовно изпълнява полезния товар на Rustonotto, като по този начин осигурява постоянен достъп до засегнатите системи. Зловреден софтуер използва комбинация от техники за кодиране, за да прикрие следите си и да повлияе на наблюдението.

APT и техните цели

BSI (Федералната служба за информационна сигурност) отдавна следи дейността на подобни атакуващи екипи. В своите доклади те документират стратегическите цели на тези групи, които могат да се променят с времето. Настоящият ландшафт на заплахите се характеризира с дългосрочни групи нападатели, които преследват специфични интереси, като APT37 играе важна роля, и които имат за цел да събират информация, както в [BSI].

Нападателите често действат в легална сива зона, което прави дейността им особено експлозивна. С технологии като модерни езици за програмиране и сложни методи за инжектиране, APT37 се оказа не само заплашителен, но и изключително адаптивен. Поради това компаниите и хората се насърчават да преосмислят своите стратегии за киберсигурност и редовно да проверяват съществуващите системи за признаци на компрометиране.

Светът на киберзаплахите е хлъзгав и непрекъснато се променя - така че следенето на опасната ситуация не може да навреди!