APT37 napada: Novi Rust backdoor ugrožava južnokorejske korisnike!

APT37 napada: Novi Rust backdoor ugrožava južnokorejske korisnike!

Novi val napada izaziva uzbuđenje u dinamičnom svijetu kibernetičke sigurnosti: sjevernokorejska APT grupa APT37, poznata i kao LScarCruft, Ruby Sleet ili Velvet Chollima, značajno je proširila svoj arsenal malwarea. Ono što posebno upada u oči je novi backdoor temeljen na Rust programskom jeziku pod nazivom “Rustonotto”, koji posebno napada Windows sustave. Security Insider objavio je ovu informaciju.

Obrasci napada APT37 prvenstveno su zabilježeni u Južnoj Koreji. Ovi napadi koriste zlonamjerne Windows prečace ili datoteke kompilirane HTML pomoći (CHM) kao ulaznu točku. Sve se aktivnosti odvijaju kroz jedan naredbeni i kontrolni poslužitelj, tako da napadači održavaju kontrolu nad infiltriranim sustavima. Analiza prijetnji iz Zscalerovog ThreatLabza jasno pokazuje da je Rustonotto aktivan od lipnja 2025. i da je prvi poznati malware temeljen na Rustu iz ove grupe.

Jedinstveni pristup i sofisticirane tehnike

Čini se da napadi nisu usmjereni protiv tvrtki ili vladinih subjekata, već ciljaju na pojedince s vezama sa sjevernokorejskim režimom ili osjetljivim političkim pitanjima u Južnoj Koreji. APT37 koristi kombinaciju nekoliko komponenti zlonamjernog softvera, uključujući alat za praćenje "FadeStealer", koji ne samo da bilježi pritiske tipki, već također snima snimke zaslona i snima audio podatke. Ti se podaci zatim komprimiraju u RAR arhive zaštićene lozinkom i prenose na C2 poslužitelj. Sigurnosne analize pokazuju da do kompromisa dolazi upotrebom mjera protiv otkrivanja kao što su Transactional NTFS i Process Doppelganging, što dodatno otežava otkrivanje zlonamjernog softvera, kako Cyberpress objašnjava.

Planirani zadatak maskiran kao "MicrosoftUpdate" redovito izvršava Rustonotto korisni teret, čime se osigurava stalni pristup zahvaćenim sustavima. Zlonamjerni softver koristi kombinaciju tehnika kodiranja kako bi prikrio svoje tragove i utjecao na nadzor.

APT-ovi i njihovi ciljevi

BSI (Federalni ured za informacijsku sigurnost) već duže vrijeme prati aktivnosti takvih napadačkih timova. U svojim izvješćima dokumentiraju strateške ciljeve tih skupina, koji se mogu mijenjati tijekom vremena. Trenutačni krajolik prijetnji karakteriziraju dugoročne skupine napadača koje slijede specifične interese, pri čemu APT37 igra važnu ulogu, i čiji je cilj prikupljanje informacija, kao u [BSI].

Napadači često djeluju u legalnoj sivoj zoni, što njihovu aktivnost čini posebno eksplozivnom. S tehnologijama kao što su moderni programski jezici i sofisticirane metode ubrizgavanja, APT37 se pokazao ne samo prijetećim, već i iznimno prilagodljivim. Tvrtke i pojedinci stoga se potiču da preispitaju svoje strategije kibernetičke sigurnosti i redovito provjeravaju postojeće sustave radi znakova ugroženosti.

Svijet kibernetičkih prijetnji sklizak je i neprestano se mijenja - stoga praćenje opasne situacije ne može škoditi!