Suche
Mein Konto
APT37 lööb: uus Rooste tagauks seab Lõuna-Korea kasutajad ohtu!
APT37 kasutab uut roostepõhist tagaust "Rustonotto" sihipärasteks rünnakuteks Windowsi süsteemide vastu Lõuna-Koreas.
APT37 lööb: uus Rooste tagauks seab Lõuna-Korea kasutajad ohtu!
Uus rünnakute laine tekitab küberturvalisuse dünaamilises maailmas elevust: Põhja-Korea APT grupp APT37, tuntud ka kui LScarCruft, Ruby Sleet või Velvet Chollima, on oluliselt laiendanud oma pahavara arsenali. Eriti torkab silma uus Rust programmeerimiskeelel põhinev tagauks nimega “Rustonotto”, mis ründab spetsiaalselt Windowsi süsteeme. Security Insider on selle teabe avaldanud.
APT37 rünnakumustrid on peamiselt registreeritud Lõuna-Koreas. Need rünnakud kasutavad sisenemispunktina pahatahtlikke Windowsi otseteid või Compiled HTML Help (CHM) faile. Kõik tegevused käivad läbi ühe käsu- ja juhtimisserveri, nii et ründajad säilitavad kontrolli sissetunginud süsteemide üle. Zscaleri ThreatLabzi ohuanalüüs näitab selgelt, et Rustonotto on olnud aktiivne alates 2025. aasta juunist ja on esimene teadaolev roostepõhine pahavara sellest rühmast.
Ainulaadne juurdepääs ja keerukad tehnikad
Rünnakud ei näi olevat suunatud ettevõtete või valitsusüksuste vastu, vaid on suunatud isikutele, kellel on side Põhja-Korea režiimiga või tundlike poliitiliste küsimustega Lõuna-Koreas. APT37 kasutab mitme pahavara komponendi kombinatsiooni, sealhulgas jälgimistööriista "FadeStealer", mis mitte ainult ei jäädvu klahvivajutustega, vaid teeb ka ekraanipilte ja salvestab heliandmeid. Seejärel tihendatakse need andmed parooliga kaitstud RAR-arhiividesse ja edastatakse C2 serverisse. Turvaanalüüsid näitavad, et kompromiss leiab aset tuvastamisvastaste meetmete, nagu Transactional NTFS ja Process Doppelganging, kasutamine, mis muudab pahavara tuvastamise veelgi keerulisemaks, nagu Cyberpress selgitab.
MicrosoftUpdate'iks maskeeritud ajastatud ülesanne täidab regulaarselt Rustonotto kasulikku koormust, tagades seeläbi püsiva juurdepääsu mõjutatud süsteemidele. Pahavara kasutab oma jälgede katmiseks ja jälgimise mõjutamiseks kodeerimistehnikate kombinatsiooni.
APT-d ja nende eesmärgid
BSI (Federal Office for Information Security) on pikka aega jälginud selliste ründemeeskondade tegevust. Nad dokumenteerivad oma aruannetes nende rühmade strateegilised eesmärgid, mis võivad aja jooksul muutuda. Praegust ohumaastikku iseloomustavad pikaajalised ründajate rühmad, kes järgivad konkreetseid huve, kusjuures APT37 mängib olulist rolli ja mille eesmärk on koguda teavet, nagu [BSI] puhul.
Ründajad tegutsevad sageli seaduslikul hallil alal, mis muudab nende tegevuse eriti plahvatusohtlikuks. Tänu sellistele tehnoloogiatele nagu kaasaegsed programmeerimiskeeled ja keerukad süstimismeetodid on APT37 osutunud mitte ainult ähvardavaks, vaid ka äärmiselt kohandatavaks. Seetõttu julgustatakse ettevõtteid ja üksikisikuid oma küberjulgeolekustrateegiaid uuesti läbi mõtlema ja regulaarselt kontrollima olemasolevaid süsteeme kompromissimärkide suhtes.
Küberohtude maailm on libe ja pidevas muutumises – seega ei saa ohuolukorral silma peal hoida!