Suche
Mein Konto
APT37 slår til: Ny Rust-bakdør setter sørkoreanske brukere i fare!
APT37 bruker den nye Rust-baserte bakdøren "Rustonotto" for målrettede angrep på Windows-systemer i Sør-Korea.
APT37 slår til: Ny Rust-bakdør setter sørkoreanske brukere i fare!
En ny bølge av angrep skaper begeistring i den dynamiske verdenen av cybersikkerhet: Den nordkoreanske APT-gruppen APT37, også kjent som LScarCruft, Ruby Sleet eller Velvet Chollima, har utvidet arsenalet av skadelig programvare betydelig. Det som fanger spesielt øyet er en ny bakdør basert på Rust-programmeringsspråket kalt "Rustonotto", som spesifikt angriper Windows-systemer. Security Insider har publisert denne informasjonen.
APT37s angrepsmønster er først og fremst registrert i Sør-Korea. Disse angrepene bruker ondsinnede Windows-snarveier eller CHM-filer (Compiled HTML Help) som et inngangspunkt. Alle aktiviteter går gjennom en enkelt kommando- og kontrollserver, slik at angriperne opprettholder kontroll over de infiltrerte systemene. Trusselanalyse fra Zscalers ThreatLabz viser tydelig at Rustonotto har vært aktiv siden juni 2025 og er den første kjente rustbaserte skadevare fra denne gruppen.
Enkel tilgang og sofistikerte teknikker
Angrepene ser ikke ut til å være rettet mot selskaper eller statlige enheter, men retter seg mot personer med bånd til det nordkoreanske regimet eller sensitive politiske saker i Sør-Korea. APT37 bruker en kombinasjon av flere skadevarekomponenter, inkludert overvåkingsverktøyet «FadeStealer», som ikke bare fanger opp tastetrykk, men også tar skjermbilder og registrerer lyddata. Disse dataene komprimeres deretter til passordbeskyttede RAR-arkiver og overføres til C2-serveren. Sikkerhetsanalyser viser at kompromisset skjer gjennom bruk av anti-deteksjonstiltak som Transactional NTFS og Process Doppelganging, som gjør oppdagelsen av skadelig programvare enda vanskeligere, som Cyberpress forklarer.
En planlagt oppgave forkledd som "MicrosoftUpdate" kjører jevnlig Rustonotto-nyttelasten, og sikrer dermed permanent tilgang til berørte systemer. Skadevaren bruker en kombinasjon av kodeteknikker for å dekke sporene og påvirke overvåkingen.
APT-er og deres mål
BSI (Federal Office for Information Security) har overvåket aktivitetene til slike angrepsteam i lang tid. I sine rapporter dokumenterer de de strategiske målene til disse gruppene, som kan endre seg over tid. Det nåværende trussellandskapet er preget av langsiktige angripergrupper som forfølger spesifikke interesser, med APT37 som spiller en viktig rolle, og som tar sikte på å samle informasjon, som i [BSI].
Angriperne opererer ofte i en lovlig gråsone, noe som gjør aktivitetene deres spesielt eksplosive. Med teknologier som moderne programmeringsspråk og sofistikerte injeksjonsmetoder, har APT37 vist seg å være ikke bare truende, men også ekstremt tilpasningsdyktig. Bedrifter og enkeltpersoner oppfordres derfor til å revurdere sine cybersikkerhetsstrategier og regelmessig sjekke eksisterende systemer for tegn på kompromiss.
Verden av cybertrusler er glatt og i stadig endring - så det kan ikke skade å holde øye med faresituasjonen!