Suche
Mein Konto
APT37 štrajkuje: Nové zadné vrátka Rust ohrozujú juhokórejských používateľov!
APT37 používa nové zadné vrátka „Rustonotto“ založené na hrdze na cielené útoky na systémy Windows v Južnej Kórei.
APT37 štrajkuje: Nové zadné vrátka Rust ohrozujú juhokórejských používateľov!
Nová vlna útokov vyvoláva rozruch v dynamickom svete kybernetickej bezpečnosti: Severokórejská skupina APT APT37, známa aj ako LScarCruft, Ruby Sleet alebo Velvet Chollima, výrazne rozšírila svoj arzenál malvéru. To, čo obzvlášť upúta pozornosť, sú nové zadné vrátka založené na programovacom jazyku Rust s názvom „Rustonotto“, ktoré špeciálne útočí na systémy Windows. Security Insider zverejnil tieto informácie.
Vzorce útokov APT37 boli primárne zaznamenané v Južnej Kórei. Tieto útoky využívajú ako vstupný bod škodlivé skratky systému Windows alebo súbory skompilovaného HTML Help (CHM). Všetky aktivity prebiehajú cez jediný príkazový a riadiaci server, takže útočníci si udržia kontrolu nad infiltrovanými systémami. Analýza hrozieb zo Zscaler’s ThreatLabz jasne ukazuje, že Rustonotto je aktívny od júna 2025 a je prvým známym malvérom založeným na Rust z tejto skupiny.
Jedinečný prístup a sofistikované techniky
Zdá sa, že útoky nie sú namierené proti spoločnostiam alebo vládnym subjektom, ale sú zamerané skôr na jednotlivcov s väzbami na severokórejský režim alebo na citlivé politické záležitosti v Južnej Kórei. APT37 používa kombináciu niekoľkých malvérových komponentov, vrátane monitorovacieho nástroja „FadeStealer“, ktorý nielenže zachytáva stlačenia klávesov, ale tiež vytvára snímky obrazovky a zaznamenáva zvukové údaje. Tieto údaje sú potom komprimované do RAR archívov chránených heslom a prenesené na server C2. Bezpečnostné analýzy ukazujú, že ku kompromitácii dochádza prostredníctvom použitia antidetekčných opatrení, ako sú transakčné NTFS a Process Doppelganging, čo ešte viac sťažuje detekciu malvéru, ako vysvetľuje Cyberpress.
Naplánovaná úloha maskovaná ako „MicrosoftUpdate“ pravidelne spúšťa užitočné zaťaženie Rustonotto, čím sa zabezpečuje trvalý prístup k postihnutým systémom. Malvér využíva kombináciu kódovacích techník na zakrytie svojich stôp a ovplyvnenie sledovania.
APT a ich ciele
BSI (Federal Office for Information Security) aktivity takýchto útočných tímov dlhodobo monitoruje. Vo svojich správach dokumentujú strategické ciele týchto skupín, ktoré sa môžu časom meniť. Súčasné prostredie hrozieb je charakterizované dlhodobými skupinami útočníkov, ktorí sledujú špecifické záujmy, pričom dôležitú úlohu zohráva APT37 a ktorých cieľom je zhromažďovať informácie, ako v [BSI].
Útočníci často operujú v legálnej šedej zóne, čo robí ich aktivity obzvlášť výbušnými. Vďaka technológiám, ako sú moderné programovacie jazyky a sofistikované metódy vstrekovania, sa APT37 ukázal byť nielen hrozivý, ale aj mimoriadne prispôsobivý. Spoločnosti a jednotlivci sa preto vyzývajú, aby prehodnotili svoje stratégie kybernetickej bezpečnosti a pravidelne kontrolovali existujúce systémy, či nevykazujú známky kompromisu.
Svet kybernetických hrozieb je klzký a neustále sa mení - takže sledovanie nebezpečnej situácie nemôže byť na škodu!