Suche
Mein Konto
APT37 udari: nova zakulisna vrata Rust ogrožajo južnokorejske uporabnike!
APT37 uporablja nova zadnja vrata »Rustonotto«, ki temeljijo na Rustu, za ciljane napade na sisteme Windows v Južni Koreji.
APT37 udari: nova zakulisna vrata Rust ogrožajo južnokorejske uporabnike!
Nov val napadov povzroča navdušenje v dinamičnem svetu kibernetske varnosti: Severnokorejska skupina APT APT37, znana tudi kot LScarCruft, Ruby Sleet ali Velvet Chollima, je znatno razširila svoj arzenal zlonamerne programske opreme. Kar še posebej pade v oči, so nova stranska vrata, ki temeljijo na programskem jeziku Rust, imenovana "Rustonotto", ki posebej napada sisteme Windows. Security Insider je objavil to informacijo.
Vzorci napadov APT37 so bili zabeleženi predvsem v Južni Koreji. Ti napadi kot vstopno točko uporabljajo zlonamerne bližnjice sistema Windows ali datoteke CHM (Compiled HTML Help). Vse dejavnosti potekajo prek enega samega ukaznega in nadzornega strežnika, tako da napadalci ohranijo nadzor nad infiltriranimi sistemi. Analiza groženj iz Zscalerjevega ThreatLabz jasno kaže, da je Rustonotto aktiven od junija 2025 in je prva znana zlonamerna programska oprema iz te skupine, ki temelji na Rustu.
Enkraten dostop in sofisticirane tehnike
Zdi se, da napadi niso usmerjeni proti podjetjem ali vladnim subjektom, temveč so usmerjeni proti posameznikom, ki so povezani s severnokorejskim režimom ali občutljivimi političnimi zadevami v Južni Koreji. APT37 uporablja kombinacijo več komponent zlonamerne programske opreme, vključno z orodjem za spremljanje »FadeStealer«, ki ne zajema le pritiskov na tipke, ampak tudi posname posnetke zaslona in snema zvočne podatke. Ti podatki se nato stisnejo v arhive RAR, zaščitene z geslom, in prenesejo na strežnik C2. Varnostne analize kažejo, da do ogrožanja pride z uporabo ukrepov proti odkrivanju, kot sta Transactional NTFS in Process Doppelganging, zaradi česar je odkrivanje zlonamerne programske opreme še težje, kot pojasnjuje Cyberpress.
Načrtovana naloga, prikrita kot »MicrosoftUpdate«, redno izvaja koristni tovor Rustonotto in s tem zagotavlja stalen dostop do prizadetih sistemov. Zlonamerna programska oprema uporablja kombinacijo tehnik kodiranja, da prikrije sledi in vpliva na nadzor.
APT in njihovi cilji
BSI (Zvezni urad za informacijsko varnost) že dolgo časa spremlja dejavnosti tovrstnih napadalnih skupin. V svojih poročilih dokumentirajo strateške cilje teh skupin, ki se lahko sčasoma spremenijo. Za trenutno pokrajino groženj so značilne dolgoročne skupine napadalcev, ki zasledujejo posebne interese, pri čemer ima APT37 pomembno vlogo, in katerih cilj je zbiranje informacij, kot v [BSI].
Napadalci pogosto delujejo v zakonitem sivem območju, zaradi česar so njihove dejavnosti še posebej eksplozivne. S tehnologijami, kot so sodobni programski jeziki in sofisticirane metode vbrizgavanja, se APT37 ni izkazal le za grozečega, temveč tudi za izjemno prilagodljivega. Podjetja in posameznike zato spodbujamo, naj ponovno razmislijo o svojih strategijah kibernetske varnosti in redno preverjajo obstoječe sisteme za znake ogroženosti.
Svet kibernetskih groženj je spolzek in se nenehno spreminja – zato spremljanje nevarne situacije ne more škoditi!