Lovituri APT37: ușa din spate New Rust pune în pericol utilizatorii sud-coreeni!

Lovituri APT37: ușa din spate New Rust pune în pericol utilizatorii sud-coreeni!

Un nou val de atacuri provoacă entuziasm în lumea dinamică a securității cibernetice: grupul nord-coreean APT APT37, cunoscut și sub numele de LScarCruft, Ruby Sleet sau Velvet Chollima, și-a extins semnificativ arsenalul de malware. Ceea ce atrage în mod deosebit atenția este o nouă ușă din spate bazată pe limbajul de programare Rust numit „Rustonotto”, care atacă în mod specific sistemele Windows. Security Insider a publicat această informație.

Modelele de atac ale APT37 au fost înregistrate în principal în Coreea de Sud. Aceste atacuri folosesc comenzi rapide rău intenționate din Windows sau fișiere Ajutor HTML compilat (CHM) ca punct de intrare. Toate activitățile rulează printr-un singur server de comandă și control, astfel încât atacatorii păstrează controlul asupra sistemelor infiltrate. Analiza amenințărilor de la ThreatLabz de la Zscaler arată în mod clar că Rustonotto este activ din iunie 2025 și este primul malware cunoscut bazat pe Rust din acest grup.

Acces singular și tehnici sofisticate

Atacurile nu par să fie îndreptate împotriva companiilor sau entităților guvernamentale, ci mai degrabă vizează persoane cu legături cu regimul nord-coreean sau chestiuni politice sensibile din Coreea de Sud. APT37 utilizează o combinație de mai multe componente malware, inclusiv instrumentul de monitorizare „FadeStealer”, care nu numai că captează apăsările de taste, ci și capturi de ecran și înregistrează date audio. Aceste date sunt apoi comprimate în arhive RAR protejate cu parolă și transferate pe serverul C2. Analizele de securitate arată că compromisul are loc prin utilizarea măsurilor anti-detecție, cum ar fi NTFS tranzacțional și Process Doppelganging, ceea ce face detectarea malware-ului și mai dificilă, după cum explică Cyberpress.

O sarcină programată deghizată ca „MicrosoftUpdate” execută în mod regulat sarcina utilă Rustonotto, asigurând astfel accesul permanent la sistemele afectate. Malware-ul folosește o combinație de tehnici de codare pentru a-și acoperi urmele și pentru a influența supravegherea.

APT-urile și obiectivele lor

BSI (Oficiul Federal pentru Securitatea Informației) monitorizează de multă vreme activitățile unor astfel de echipe de atac. În rapoartele lor, aceștia documentează obiectivele strategice ale acestor grupuri, care se pot schimba în timp. Peisajul actual de amenințări este caracterizat de grupuri de atacatori pe termen lung care urmăresc interese specifice, APT37 jucând un rol important și care urmăresc să colecteze informații, ca în [BSI].

Atacatorii operează adesea într-o zonă gri legală, ceea ce face ca activitățile lor să fie deosebit de explozive. Cu tehnologii precum limbaje de programare moderne și metode de injecție sofisticate, APT37 s-a dovedit a fi nu numai amenințător, ci și extrem de adaptabil. Prin urmare, companiile și persoanele fizice sunt încurajate să își regândească strategiile de securitate cibernetică și să verifice în mod regulat sistemele existente pentru semne de compromis.

Lumea amenințărilor cibernetice este alunecoasă și în continuă schimbare - așa că a fi cu ochii pe situația de pericol nu poate strica!