APT37来袭：新Rust后门危及韩国用户！

APT37来袭：新Rust后门危及韩国用户！

新一波攻击正在动态的网络安全世界中引起兴奋：朝鲜 APT 组织 APT37（也称为 LScarCruft、Ruby Sleet 或 Velvet Chollima）显着扩大了其恶意软件库。特别引人注目的是一个基于 Rust 编程语言的新后门，名为“Rustonotto”，专门攻击 Windows 系统。 Security Insider 已发布此信息。

APT37 的攻击模式主要记录在韩国。这些攻击使用恶意 Windows 快捷方式或编译的 HTML 帮助 (CHM) 文件作为入口点。所有活动都通过单个命令和控制服务器运行，因此攻击者可以保持对渗透系统的控制。 Zscaler 的 ThreatLabz 的威胁分析清楚地表明 Rustonotto 自 2025 年 6 月以来一直活跃，并且是该组织中第一个已知的基于 Rust 的恶意软件。

单一的访问和复杂的技术

这些攻击似乎并不是针对公司或政府实体，而是针对与朝鲜政权或韩国敏感政治事务有联系的个人。 APT37使用了多个恶意软件组件的组合，其中包括监控工具“FadeStealer”，它不仅可以捕获击键，还可以进行屏幕截图并记录音频数据。然后，该数据被压缩为受密码保护的 RAR 存档并传输到 C2 服务器。正如 Cyber​​press 所解释的那样，安全分析表明，这种危害是通过使用事务性 NTFS 和 Process Doppelganging 等反检测措施而发生的，这使得恶意软件的检测变得更加困难。

伪装为“MicrosoftUpdate”的计划任务会定期执行 Rustonotto 负载，从而确保对受影响系统的永久访问。该恶意软件使用多种编码技术来掩盖其踪迹并影响监视。

APT 及其目标

BSI（联邦信息安全办公室）长期以来一直在监视此类攻击团队的活动。他们在报告中记录了这些团体的战略目标，这些目标可能会随着时间的推移而发生变化。当前威胁格局的特点是追求特定利益的长期攻击团体，其中 APT37 发挥着重要作用，其目标是收集信息，如 [BSI] 中所示。

攻击者经常在合法的灰色地带进行活动，这使得他们的活动特别具有爆炸性。凭借现代编程语言和复杂的注入方法等技术，APT37 被证明不仅具有威胁性，而且适应性极强。因此，鼓励公司和个人重新考虑他们的网络安全策略，并定期检查现有系统是否存在妥协迹象。

网络威胁的世界是不稳定且不断变化的 - 因此密切关注危险情况不会有什么坏处！