Ataki APT37: nowy backdoor Rust zagraża użytkownikom z Korei Południowej!

Ataki APT37: nowy backdoor Rust zagraża użytkownikom z Korei Południowej!

Nowa fala ataków wywołuje emocje w dynamicznym świecie cyberbezpieczeństwa: północnokoreańska grupa APT APT37, znana również jako LScarCruft, Ruby Sleet lub Velvet Chollima, znacznie rozszerzyła swój arsenał szkodliwego oprogramowania. Tym, co szczególnie rzuca się w oczy, jest nowy backdoor oparty na języku programowania Rust o nazwie „Rustonotto”, który specyficznie atakuje systemy Windows. Security Insider opublikował tę informację.

Schematy ataków APT37 odnotowano głównie w Korei Południowej. Ataki te wykorzystują jako punkt wejścia złośliwe skróty systemu Windows lub skompilowane pliki pomocy HTML (CHM). Wszystkie działania przebiegają za pośrednictwem jednego serwera dowodzenia i kontroli, dzięki czemu osoby atakujące zachowują kontrolę nad infiltrowanymi systemami. Analiza zagrożeń przeprowadzona przez ThreatLabz firmy Zscaler wyraźnie pokazuje, że Rustonotto jest aktywny od czerwca 2025 r. i jest pierwszym znanym szkodliwym oprogramowaniem z tej grupy opartym na Rust.

Pojedynczy dostęp i zaawansowane techniki

Nie wydaje się, aby ataki były skierowane przeciwko firmom lub podmiotom rządowym, ale raczej wymierzone w osoby powiązane z reżimem północnokoreańskim lub wrażliwe kwestie polityczne w Korei Południowej. APT37 wykorzystuje kombinację kilku komponentów szkodliwego oprogramowania, w tym narzędzie monitorujące „FadeStealer”, które nie tylko przechwytuje naciśnięcia klawiszy, ale także wykonuje zrzuty ekranu i nagrywa dane dźwiękowe. Dane te są następnie kompresowane do chronionych hasłem archiwów RAR i przesyłane na serwer C2. Analizy bezpieczeństwa pokazują, że do kompromisu dochodzi poprzez zastosowanie środków zapobiegających wykryciu, takich jak transakcyjny system plików NTFS i powtarzanie procesów, co jeszcze bardziej utrudnia wykrycie złośliwego oprogramowania, jak wyjaśnia Cyberpress.

Zaplanowane zadanie pod przykrywką „MicrosoftUpdate” regularnie wykonuje ładunek Rustonotto, zapewniając w ten sposób stały dostęp do systemów, których dotyczy problem. Szkodnik wykorzystuje kombinację technik kodowania, aby zatrzeć ślady i wpłynąć na nadzór.

APT i ich cele

BSI (Federalny Urząd ds. Bezpieczeństwa Informacji) od dawna monitoruje działania tego typu zespołów atakujących. W swoich raportach dokumentują cele strategiczne tych grup, które mogą zmieniać się w czasie. Obecny krajobraz zagrożeń charakteryzuje się długoterminowymi grupami atakującymi, które realizują określone interesy, przy czym APT37 odgrywa ważną rolę, i których celem jest zbieranie informacji, jak w [BSI].

Napastnicy często działają w legalnej szarej strefie, co sprawia, że ​​ich działania są szczególnie wybuchowe. Dzięki technologiom takim jak nowoczesne języki programowania i wyrafinowane metody wstrzykiwania, APT37 okazał się nie tylko groźny, ale także niezwykle elastyczny. Dlatego zachęca się firmy i osoby prywatne do ponownego przemyślenia swoich strategii cyberbezpieczeństwa i regularnego sprawdzania istniejących systemów pod kątem oznak kompromisu.

Świat cyberzagrożeń jest śliski i ciągle się zmienia – więc śledzenie sytuacji nie może zaszkodzić!