Suche
Mein Konto
Az APT37 csapások: Az új Rust hátsó ajtó veszélyezteti a dél-koreai felhasználókat!
Az APT37 az új Rust-alapú, „Rustonotto” hátsó ajtót használja a Windows rendszerek elleni célzott támadásokhoz Dél-Koreában.
Az APT37 csapások: Az új Rust hátsó ajtó veszélyezteti a dél-koreai felhasználókat!
Új támadási hullám okoz izgalmakat a kiberbiztonság dinamikus világában: az LScarCruft, Ruby Sleet vagy Velvet Chollima néven is ismert észak-koreai APT-csoport, az APT37 jelentősen kibővítette kártevők arzenálját. Ami különösen felkelti a figyelmet, az a Rust programozási nyelven alapuló új hátsó ajtó, a „Rustonotto”, amely kifejezetten Windows rendszereket támad meg. A Security Insider közzétette ezt az információt.
Az APT37 támadási mintáit elsősorban Dél-Koreában rögzítették. Ezek a támadások rosszindulatú Windows parancsikonokat vagy Compiled HTML Help (CHM) fájlokat használnak belépési pontként. Minden tevékenység egyetlen parancs- és vezérlőkiszolgálón keresztül fut, így a támadók fenntartják az irányítást a behatolt rendszerek felett. A Zscaler's ThreatLabz fenyegetéselemzése egyértelműen azt mutatja, hogy a Rustonotto 2025 júniusa óta aktív, és ez az első ismert Rust-alapú rosszindulatú program ebből a csoportból.
Egyedi hozzáférés és kifinomult technikák
Úgy tűnik, hogy a támadások nem vállalatok vagy kormányzati szervek ellen irányulnak, inkább az észak-koreai rezsimmel vagy kényes politikai ügyekkel kapcsolatban álló személyeket célozzák meg. Az APT37 számos rosszindulatú programkomponens kombinációját használja, beleértve a „FadeStealer” megfigyelőeszközt, amely nemcsak a billentyűleütéseket rögzíti, hanem képernyőképeket és hangadatokat is rögzít. Ezeket az adatokat ezután jelszóval védett RAR archívumba tömörítik, és továbbítják a C2 szerverre. A biztonsági elemzések azt mutatják, hogy a kompromisszum az észlelés elleni intézkedések, például a tranzakciós NTFS és a Process Doppelganging használata révén következik be, ami még megnehezíti a rosszindulatú program észlelését, ahogy a Cyberpress kifejti.
A „MicrosoftUpdate”-nek álcázott ütemezett feladat rendszeresen végrehajtja a Rustonotto hasznos terhelést, ezáltal állandó hozzáférést biztosít az érintett rendszerekhez. A rosszindulatú program kódolási technikák kombinációját használja a nyomok elfedésére és a felügyelet befolyásolására.
APT-k és céljaik
A BSI (Szövetségi Információbiztonsági Hivatal) már régóta figyelemmel kíséri az ilyen támadócsapatok tevékenységét. Beszámolóikban dokumentálják e csoportok stratégiai céljait, amelyek idővel változhatnak. A jelenlegi fenyegetettségi környezetet hosszú távú támadócsoportok jellemzik, amelyek meghatározott érdekeket követnek, és az APT37 fontos szerepet játszik, és amelyek célja az információgyűjtés, mint a [BSI]-ben.
A támadók gyakran jogi szürke területen tevékenykednek, ami különösen robbanásveszélyessé teszi tevékenységüket. Az olyan technológiákkal, mint a modern programozási nyelvek és a kifinomult injekciós módszerek, az APT37 nemcsak fenyegetőnek, hanem rendkívül alkalmazkodónak is bizonyult. A vállalatokat és magánszemélyeket ezért arra biztatjuk, hogy gondolják újra kiberbiztonsági stratégiáikat, és rendszeresen ellenőrizzék a meglévő rendszereket a kompromisszum jeleire keresve.
A kiberfenyegetések világa csúszós és folyamatosan változik – így a veszélyhelyzet szemmel tartása nem árthat!