Аналитический центр AhnLab Security (ASEC) подтвердил, что злоумышленник с именем Larva-24009 проводит фишинговые атаки на корейских пользователей. Хотя ранее считалось, что он преимущественно направлен на глобальных пользователей, недавно было подтверждено, что и корейские пользователи также подвергаются заражению. На данный момент мало известно о самом злоумышленнике и его конкретных целях, хотя было определено, что его атаки затрагивают отрасли блокчейн, музыку и здравоохранение.
Larva-24009 APT
Larva-24009 начинает фишинговые атаки, используя вредоносное ПО LNK, а затем устанавливает вредоносное ПО для утечки информации и удаленного контроля. Он использует специально созданные штаммы вредоносного ПО PowerShell, чтобы сохранить стабильность и контроль за зараженными системами. На начальном этапе атаки злоумышленник отправляет по электронной почте вложения с изображениями, документами и вредоносными LNK-файлами. Пользователи запускают LNK-файлы, что приводит к выполнению вредоносных команд PowerShell.
Особенностью злоумышленников Larva-24009 является использование различных сценариев PowerShell для загрузки вредоносной полезной нагрузки и выполнения команд. Они также контролируют зараженные системы с помощью коммерческих инструментов, таких как njRAT и QuasarRAT.
Indicators of Compromise
IPv4
- 209.145.59.89
URLs
- http://157.173.104.153/up/a.ps1
- http://157.173.104.153/up/b.ps1
- http://157.173.104.153/up/bb.ps1
- http://157.173.104.153/up/bd.ps1
- http://157.173.104.153/up/Tool/ChromePass.exe
MD5
- 034e2beecd31b026e0bd9710fc2929d7
- 094bc518d9adb0f72eee6c727ec1cef7
- 154c1bd26ca2844a1147a8c7209db415
- 1971d337664acbe3fc34a3846812aa54
- 271b1166f4020e1cf875b9882dffc407