Главная страница » Индикаторы компрометации
0
21 час
Индикаторы компрометации

APT-группы усиливают натиск на Южную Корею, используя фишинговые LNK-файлы

APT

По данным мониторинга южнокорейской компании AhnLab, в декабре 2025 года страна столкнулась с серией высокоцелевых кибератак, классифицируемых как APT (Advanced Persistent Threat, усовершенствованная постоянная угроза). Основным вектором атак стал spear phishing (целевой фишинг). Примечательно, что наибольшую долю инцидентов составили атаки с использованием ярлыков LNK-файлов.

Описание

Специалисты AhnLab отмечают, что злоумышленники активно используют собственную инфраструктуру для проведения кампаний. В отличие от массового фишинга, целевые атаки предполагают длительную фазу разведки. Злоумышленники собирают информацию о конкретных лицах или организациях, чтобы создавать предельно персонализированные и правдоподобные письма. Часто применяется подмена адреса отправителя.

Распространение через LNK-файлы: две основные схемы

Аналитики выделили два основных типа атак, распространяемых через вредоносные LNK-ярлыки.

Тип А: Загрузка RAT-программ. Этот тип нацелен на выполнение на системе жертвы RAT (Remote Access Trojan, троянец удаленного доступа). Атака распространяется в виде архивных файлов, часто вместе с легитимными документами для отвода глаз. Вредоносные LNK-файлы содержат команды PowerShell. Они используются для загрузки вредоносного ПО через API DropBox или Google Drive. Альтернативно, на компьютере жертвы создаются дополнительные сценарные файлы и замаскированные RAT-программы, например, в директории %PUBLIC%. Финальный зловред, такие как XenoRAT или RoKRAT, по команде оператора выполняет различные действия, включая кейлоггинг (перехват нажатий клавиш) и захват изображения с экрана. Среди обнаруженных файлов значатся "20251216 Hyundai International Relations review article()Final Submission.lnk" и "Transaction Statement for Mr. Choi.lnk".

Тип B: Использование AutoIt. В этом сценарии выполнение PowerShell-команды из LNK-файла приводит к обращению на внешний URL для загрузки дополнительных файлов. Ключевой особенностью является копирование легитимной утилиты curl.exe под другим именем, например, WpqNoXz.exe, перед ее использованием. В итоге на компьютер загружаются как легальная программа AutoIt, так и вредоносный скрипт для нее. Для обеспечения постоянства (persistence) загруженные файлы регистрируются в Планировщике заданий Windows. Вредоносный скрипт AutoIt обладает функционалом для выполнения команд, сканирования директорий, а также загрузки и выгрузки файлов. Примеры имен файлов этого типа: "2025 North Korean Human Rights Youth Academy Lecture Topics.pdf.lnk" и "YouTube Campaign Paid Partnership Proposal.docx.lnk".

Социальная инженерия и маскировка

Чтобы увеличить шансы на успех, злоумышленники применяют изощренные методы социальной инженерии. Тематика писем и названия вложений часто связаны с актуальными локальными событиями, дипломатическими отношениями, финансовыми документами или грантами. Это делает их крайне убедительными для целевой аудитории в Южной Корее.

Кроме того, атаки используют файлы-приманки (decoy files). Когда пользователь открывает LNK-ярлык, система может параллельно запустить легитимный документ, например, PDF-файл. Это создает у жертвы иллюзию, что ничего подозрительного не произошло, в то время как в фоновом режиме уже развертывается вредоносная нагрузка (payload).

Выводы и рекомендации

Статистика за декабрь 2025 года наглядно демонстрирует, что APT-группы продолжают считать Южную Корею приоритетной мишенью. Тенденция к использованию LNK-файлов в spear phishing-атаках подчеркивает важность технической осведомленности пользователей. Эксперты по безопасности рекомендуют проявлять крайнюю осторожность при получении электронных писем с вложениями, даже если они выглядят правдоподобно и от известного отправителя. Критически важно не включать выполнение сценариев для вложений из ненадежных источников. Организациям следует регулярно обучать сотрудников, внедрять решения класса IDS/IPS (системы обнаружения и предотвращения вторжений) и тщательно мониторить сетевую активность на предмет аномальных исходящих соединений, особенно к облачным хранилищам.

Индикаторы компрометации

URLs

  • http://chungmu.academy/wdFiles/upload/food/handle.php
  • http://mid.great-site.net/maith.php
  • http://static.250.232.75.5.clients.your-server.de/usertheme/colorpicker.php?darkmode=false
  • http://sungshin.co.kr/skin/member/member.php
  • https://drive.google.com/uc?export=download&id=1jqpw8UHpsY5ps3nKOfkyo2ql4hC23Mew

MD5

  • 000197b52c39d68b0fbaae804e035583
  • 0110e34baf46824b2d976c184d3da8a8
  • 04716c31e7443f052e2e3c1203bd6e5b
  • 047d75bd7dc3616b04e87ffeb727cf59
  • 08160acf08fccecde7b34090db18b321
Комментарии: 0
Похожие записи
0
09.03.2023
Индикаторы компрометации

RedLine Stealer IOCs - Part 16

Stealer
RedLine крадет различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. Она также может загружать дополнительные вредоносные программы, получая команды с C&
0
14.06.2024
Индикаторы компрометации

Установка кейлоггера с помощью уязвимости MS Office (Kimsuky)

security
Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) обнародовал информацию о том, как угрожающая группа Kimsuky использовала уязвимость в редакторе уравнений MS Office для распространения кейлоггера.