Suche
Mein Konto
Απεργίες APT37: Η νέα κερκόπορτα Rust θέτει σε κίνδυνο τους Νοτιοκορεάτες χρήστες!
Το APT37 χρησιμοποιεί τη νέα κερκόπορτα "Rustonotto" που βασίζεται σε Rust για στοχευμένες επιθέσεις σε συστήματα Windows στη Νότια Κορέα.
Απεργίες APT37: Η νέα κερκόπορτα Rust θέτει σε κίνδυνο τους Νοτιοκορεάτες χρήστες!
Ένα νέο κύμα επιθέσεων προκαλεί ενθουσιασμό στον δυναμικό κόσμο της κυβερνοασφάλειας: η βορειοκορεατική ομάδα APT APT37, γνωστή και ως LScarCruft, Ruby Sleet ή Velvet Chollima, έχει επεκτείνει σημαντικά το οπλοστάσιό της σε κακόβουλο λογισμικό. Αυτό που τραβάει ιδιαίτερα τα βλέμματα είναι μια νέα κερκόπορτα βασισμένη στη γλώσσα προγραμματισμού Rust που ονομάζεται «Rustonotto», η οποία επιτίθεται συγκεκριμένα σε συστήματα Windows. Ο Security Insider δημοσίευσε αυτές τις πληροφορίες.
Τα μοτίβα επίθεσης του APT37 έχουν καταγραφεί κυρίως στη Νότια Κορέα. Αυτές οι επιθέσεις χρησιμοποιούν κακόβουλες συντομεύσεις των Windows ή αρχεία Compiled HTML Help (CHM) ως σημείο εισόδου. Όλες οι δραστηριότητες εκτελούνται μέσω ενός μόνο διακομιστή εντολών και ελέγχου, έτσι οι εισβολείς διατηρούν τον έλεγχο των διεισδυμένων συστημάτων. Η ανάλυση απειλών από το ThreatLabz του Zscaler δείχνει ξεκάθαρα ότι το Rustonotto είναι ενεργό από τον Ιούνιο του 2025 και είναι το πρώτο γνωστό κακόβουλο λογισμικό που βασίζεται σε Rust από αυτήν την ομάδα.
Μοναδική πρόσβαση και εξελιγμένες τεχνικές
Οι επιθέσεις δεν φαίνεται να στρέφονται εναντίον εταιρειών ή κυβερνητικών φορέων, αλλά στοχεύουν άτομα με δεσμούς με το καθεστώς της Βόρειας Κορέας ή ευαίσθητα πολιτικά ζητήματα στη Νότια Κορέα. Το APT37 χρησιμοποιεί έναν συνδυασμό πολλών στοιχείων κακόβουλου λογισμικού, συμπεριλαμβανομένου του εργαλείου παρακολούθησης "FadeStealer", το οποίο όχι μόνο καταγράφει πατήματα πλήκτρων, αλλά λαμβάνει επίσης στιγμιότυπα οθόνης και καταγράφει δεδομένα ήχου. Αυτά τα δεδομένα στη συνέχεια συμπιέζονται σε αρχεία RAR που προστατεύονται με κωδικό πρόσβασης και μεταφέρονται στον διακομιστή C2. Οι αναλύσεις ασφαλείας δείχνουν ότι ο συμβιβασμός πραγματοποιείται μέσω της χρήσης μέτρων κατά της ανίχνευσης, όπως το Transaction NTFS και το Process Doppelganging, γεγονός που καθιστά τον εντοπισμό του κακόβουλου λογισμικού ακόμη πιο δύσκολο, όπως εξηγεί η Cyberpress.
Μια προγραμματισμένη εργασία που μεταμφιέζεται ως «MicrosoftUpdate» εκτελεί τακτικά το ωφέλιμο φορτίο Rustonotto, διασφαλίζοντας έτσι μόνιμη πρόσβαση στα επηρεαζόμενα συστήματα. Το κακόβουλο λογισμικό χρησιμοποιεί έναν συνδυασμό τεχνικών κωδικοποίησης για να καλύψει τα ίχνη του και να επηρεάσει την επιτήρηση.
Τα APT και οι στόχοι τους
Το BSI (Ομοσπονδιακό Γραφείο για την Ασφάλεια Πληροφοριών) παρακολουθεί τις δραστηριότητες τέτοιων ομάδων επίθεσης για μεγάλο χρονικό διάστημα. Στις εκθέσεις τους, τεκμηριώνουν τους στρατηγικούς στόχους αυτών των ομάδων, οι οποίοι μπορούν να αλλάξουν με την πάροδο του χρόνου. Το τρέχον τοπίο απειλής χαρακτηρίζεται από μακροπρόθεσμες ομάδες επιτιθέμενων που επιδιώκουν συγκεκριμένα συμφέροντα, με το APT37 να παίζει σημαντικό ρόλο και που στοχεύουν στη συλλογή πληροφοριών, όπως στο [BSI].
Οι επιτιθέμενοι συχνά δρουν σε μια νόμιμη γκρίζα ζώνη, γεγονός που καθιστά τις δραστηριότητές τους ιδιαίτερα εκρηκτικές. Με τεχνολογίες όπως οι σύγχρονες γλώσσες προγραμματισμού και οι εξελιγμένες μέθοδοι έγχυσης, το APT37 έχει αποδειχθεί όχι μόνο απειλητικό αλλά και εξαιρετικά προσαρμόσιμο. Ως εκ τούτου, οι εταιρείες και τα άτομα ενθαρρύνονται να επανεξετάσουν τις στρατηγικές τους στον κυβερνοχώρο και να ελέγχουν τακτικά τα υπάρχοντα συστήματα για ενδείξεις συμβιβασμού.
Ο κόσμος των απειλών στον κυβερνοχώρο είναι ολισθηρός και συνεχώς αλλάζει - επομένως το να παρακολουθείτε την επικίνδυνη κατάσταση δεν μπορεί να βλάψει!