Suche
Mein Konto
APT37 streiki: jaunas Rust aizmugures durvis apdraud Dienvidkorejas lietotājus!
APT37 izmanto jauno Rust balstītu backdoor "Rustonotto" mērķtiecīgiem uzbrukumiem Windows sistēmām Dienvidkorejā.
APT37 streiki: jaunas Rust aizmugures durvis apdraud Dienvidkorejas lietotājus!
Jauns uzbrukumu vilnis izraisa sajūsmu dinamiskajā kiberdrošības pasaulē: Ziemeļkorejas APT grupa APT37, kas pazīstama arī kā LScarCruft, Ruby Sleet vai Velvet Chollima, ir ievērojami paplašinājusi savu ļaundabīgo programmu arsenālu. Īpaši uzmanību piesaista jaunas aizmugures durvis, kas balstītas uz Rust programmēšanas valodu ar nosaukumu “Rustonotto”, kas īpaši uzbrūk Windows sistēmām. Security Insider ir publicējis šo informāciju.
APT37 uzbrukumu modeļi galvenokārt ir reģistrēti Dienvidkorejā. Šajos uzbrukumos kā ieejas punkts tiek izmantoti ļaunprātīgi Windows saīsnes vai Compiled HTML Help (CHM) faili. Visas darbības notiek caur vienu komandu un kontroles serveri, tāpēc uzbrucēji saglabā kontroli pār iefiltrētajām sistēmām. Zscaler's ThreatLabz veiktā draudu analīze skaidri parāda, ka Rustonotto ir bijis aktīvs kopš 2025. gada jūnija un ir pirmā zināmā uz Rust balstītā ļaunprogrammatūra no šīs grupas.
Vienreizēja piekļuve un sarežģītas metodes
Šķiet, ka uzbrukumi nav vērsti pret uzņēmumiem vai valdības struktūrām, bet drīzāk ir vērsti pret personām, kurām ir saikne ar Ziemeļkorejas režīmu vai sensitīvi politiski jautājumi Dienvidkorejā. APT37 izmanto vairāku ļaunprātīgas programmatūras komponentu kombināciju, tostarp uzraudzības rīku “FadeStealer”, kas ne tikai tver taustiņsitienus, bet arī uzņem ekrānuzņēmumus un ieraksta audio datus. Pēc tam šie dati tiek saspiesti ar paroli aizsargātos RAR arhīvos un pārsūtīti uz C2 serveri. Drošības analīzes liecina, ka kompromiss rodas, izmantojot pretatklāšanas pasākumus, piemēram, transakciju NTFS un Process Doppelganging, kas padara ļaunprātīgas programmatūras noteikšanu vēl grūtāku, kā skaidro Cyberpress.
Plānots uzdevums, kas slēpts kā “MicrosoftUpdate”, regulāri izpilda Rustonotto lietderīgo slodzi, tādējādi nodrošinot pastāvīgu piekļuvi ietekmētajām sistēmām. Ļaunprātīgā programmatūra izmanto kodēšanas metožu kombināciju, lai aptvertu tās pēdas un ietekmētu uzraudzību.
APT un to mērķi
BSI (Federālais informācijas drošības birojs) šādu uzbrukuma komandu darbību uzrauga jau ilgu laiku. Savos ziņojumos viņi dokumentē šo grupu stratēģiskos mērķus, kas laika gaitā var mainīties. Pašreizējo draudu ainavu raksturo ilgstošas uzbrucēju grupas, kas īsteno noteiktas intereses, un APT37 spēlē svarīgu lomu un kuru mērķis ir vākt informāciju, kā tas ir [BSI].
Uzbrucēji bieži darbojas likumīgā pelēkajā zonā, kas viņu darbības padara īpaši sprādzienbīstamas. Izmantojot tādas tehnoloģijas kā modernas programmēšanas valodas un sarežģītas injekcijas metodes, APT37 ir izrādījies ne tikai draudīgs, bet arī ārkārtīgi pielāgojams. Tāpēc uzņēmumi un privātpersonas tiek mudināti pārdomāt savas kiberdrošības stratēģijas un regulāri pārbaudīt esošās sistēmas, vai tajās nerodas kompromisa pazīmes.
Kiberdraudu pasaule ir slidena un nemitīgi mainās – tāpēc, sekojot līdzi briesmu situācijai, tas nekaitēs!