Suche
Mein Konto
APT37 slår til: Ny rustbagdør bringer sydkoreanske brugere i fare!
APT37 bruger den nye Rust-baserede bagdør "Rustonotto" til målrettede angreb på Windows-systemer i Sydkorea.
APT37 slår til: Ny rustbagdør bringer sydkoreanske brugere i fare!
En ny bølge af angreb skaber begejstring i den dynamiske verden af cybersikkerhed: Den nordkoreanske APT-gruppe APT37, også kendt som LScarCruft, Ruby Sleet eller Velvet Chollima, har udvidet sit arsenal af malware markant. Det, der især fanger øjet, er en ny bagdør baseret på Rust-programmeringssproget kaldet "Rustonotto", som specifikt angriber Windows-systemer. Security Insider har offentliggjort disse oplysninger.
APT37's angrebsmønstre er primært blevet registreret i Sydkorea. Disse angreb bruger ondsindede Windows-genveje eller Compiled HTML Help (CHM)-filer som et indgangspunkt. Alle aktiviteter kører gennem en enkelt kommando- og kontrolserver, så angriberne bevarer kontrollen over de infiltrerede systemer. Trusselsanalyse fra Zscalers ThreatLabz viser tydeligt, at Rustonotto har været aktiv siden juni 2025 og er den første kendte Rust-baserede malware fra denne gruppe.
Enkel adgang og sofistikerede teknikker
Angrebene ser ikke ud til at være rettet mod virksomheder eller regeringsenheder, men retter sig mod personer med tilknytning til det nordkoreanske regime eller følsomme politiske forhold i Sydkorea. APT37 bruger en kombination af flere malware-komponenter, herunder overvågningsværktøjet "FadeStealer", som ikke kun fanger tastetryk, men også tager skærmbilleder og optager lyddata. Disse data komprimeres derefter til adgangskodebeskyttede RAR-arkiver og overføres til C2-serveren. Sikkerhedsanalyser viser, at kompromiset sker gennem brug af anti-detektionsforanstaltninger såsom Transactional NTFS og Process Doppelganging, hvilket gør opdagelsen af malwaren endnu sværere, som Cyberpress forklarer.
En planlagt opgave forklædt som "MicrosoftUpdate" udfører regelmæssigt Rustonotto-nyttelasten og sikrer derved permanent adgang til berørte systemer. Malwaren bruger en kombination af kodningsteknikker til at dække sine spor og påvirke overvågningen.
APT'er og deres mål
BSI (Federal Office for Information Security) har overvåget aktiviteterne i sådanne angrebshold i lang tid. I deres rapporter dokumenterer de disse gruppers strategiske mål, som kan ændre sig over tid. Det nuværende trusselslandskab er præget af langsigtede angribergrupper, der forfølger specifikke interesser, hvor APT37 spiller en vigtig rolle, og som har til formål at indsamle information, som i [BSI].
Angriberne opererer ofte i en lovlig gråzone, hvilket gør deres aktiviteter særligt eksplosive. Med teknologier som moderne programmeringssprog og sofistikerede injektionsmetoder har APT37 vist sig at være ikke kun truende, men også ekstremt tilpasningsdygtig. Virksomheder og enkeltpersoner opfordres derfor til at genoverveje deres cybersikkerhedsstrategier og regelmæssigt tjekke eksisterende systemer for tegn på kompromis.
Verden af cybertrusler er glat og i konstant forandring - så det kan ikke skade at holde øje med faresituationen!