Suche
Mein Konto
APT37 slår till: Ny rostbakdörr utsätter sydkoreanska användare!
APT37 använder den nya Rust-baserade bakdörren "Rustonotto" för riktade attacker mot Windows-system i Sydkorea.
APT37 slår till: Ny rostbakdörr utsätter sydkoreanska användare!
En ny våg av attacker skapar spänning i den dynamiska världen av cybersäkerhet: Den nordkoreanska APT-gruppen APT37, även känd som LScarCruft, Ruby Sleet eller Velvet Chollima, har avsevärt utökat sin arsenal av skadlig programvara. Vad som särskilt fångar ögat är en ny bakdörr baserad på Rust-programmeringsspråket som heter "Rustonotto", som specifikt attackerar Windows-system. Security Insider har publicerat denna information.
APT37:s attackmönster har främst registrerats i Sydkorea. Dessa attacker använder skadliga Windows-genvägar eller CHM-filer (Compiled HTML Help) som en ingångspunkt. Alla aktiviteter körs via en enda kommando- och kontrollserver, så angriparna behåller kontrollen över de infiltrerade systemen. Hotanalys från Zscalers ThreatLabz visar tydligt att Rustonotto har varit aktiv sedan juni 2025 och är den första kända Rust-baserade skadliga programvaran från denna grupp.
Enkel åtkomst och sofistikerade tekniker
Attackerna verkar inte vara riktade mot företag eller statliga enheter, utan riktar sig snarare mot individer med kopplingar till den nordkoreanska regimen eller känsliga politiska frågor i Sydkorea. APT37 använder en kombination av flera skadliga komponenter, inklusive övervakningsverktyget "FadeStealer", som inte bara fångar tangenttryckningar, utan också tar skärmdumpar och spelar in ljuddata. Dessa data komprimeras sedan till lösenordsskyddade RAR-arkiv och överförs till C2-servern. Säkerhetsanalyser visar att kompromissen sker genom användning av antidetekteringsåtgärder som Transactional NTFS och Process Doppelganging, vilket gör upptäckten av skadlig programvara ännu svårare, som Cyberpress förklarar.
En schemalagd uppgift förklädd som "MicrosoftUpdate" kör regelbundet Rustonotto-nyttolasten, vilket säkerställer permanent åtkomst till berörda system. Skadlig programvara använder en kombination av kodningstekniker för att täcka sina spår och påverka övervakningen.
APT:er och deras mål
BSI (Federal Office for Information Security) har övervakat aktiviteterna hos sådana attackteam under lång tid. I sina rapporter dokumenterar de dessa gruppers strategiska mål, som kan förändras över tid. Det nuvarande hotlandskapet kännetecknas av långsiktiga angripargrupper som eftersträvar specifika intressen, där APT37 spelar en viktig roll, och som syftar till att samla in information, som i [BSI].
Angriparna opererar ofta i en laglig gråzon, vilket gör deras aktiviteter extra explosiva. Med teknologier som moderna programmeringsspråk och sofistikerade injektionsmetoder har APT37 visat sig vara inte bara hotfull utan också extremt anpassningsbar. Företag och privatpersoner uppmuntras därför att ompröva sina cybersäkerhetsstrategier och regelbundet kontrollera befintliga system för tecken på kompromiss.
Världen av cyberhot är hal och förändras ständigt - så att hålla ett öga på farosituationen kan inte skada!