APT37 активизировалась: новая фишинговая кампания использует обфускацию и Python-бэкдор для атак на южнокорейские организации

Вектор начального проникновения остаётся традиционным, но отточенным до автоматизма. Жертва получает электронное письмо с вложенным ZIP-архивом. Внутри архива находится LNK-файл (ярлык Windows), замаскированный под обычный документ. Чтобы заставить человека открыть вложение, злоумышленники используют темы, вызывающие естественное любопытство: авиабилеты, приглашения на мероприятия по исследованию КНДР, а также поддельные уведомления от имени сотрудников полиции и оборонного ведомства. Как только пользователь извлекает и запускает ярлык, на экране действительно открывается легитимный документ-приманка, но в фоне начинается цепная реакция вредоносных действий.

Главная техническая особенность этой атаки - метод обфускации команд на основе подстановки подстроки из переменной окружения. Вместо прямого вызова вредоносного кода LNK-файл передаёт cmd.exe длинную строку, которая разбита на отдельные символы. В момент выполнения команда реконструируется, что позволяет обойти сигнатурные сигнатуры антивирусов и статический анализ. После этого через PowerShell вызывается легитимная утилита curl.exe, скопированная в папку временных файлов. С её помощью скачиваются два объекта: уже упомянутый документ-приманка и BAT-файл, который продолжает заражение.

BAT-скрипт, в свою очередь, использует ту же технику обфускации. Сначала он загружает официальный дистрибутив Python Embed (встраиваемый Python) с серверов python.org, извлекает его в каталог C:\Users\Public\Music\MusicLibrariesPackage. После этого оригинальный python.exe удаляется, а pythonw.exe переименовывается в codeflush.exe - так стирается связь с легитимным интерпретатором. В тот же каталог скачивается файл settingenv.cat. Несмотря на расширение, это не каталог безопасности Windows, а скомпилированный Python-байткод (файл с расширением .pyc). Его анализ в отчёте Genians показал, что злоумышленники намеренно опустошили заголовок хэша, чтобы затруднить идентификацию файла.

Для закрепления в системе BAT-файл создаёт задачу планировщика Windows с именем MicrosoftMusicLibrariesPackageTaskMachine. Эта задача запускает codeflush.exe с аргументом settingenv.cat каждую минуту. Такой короткий интервал позволяет быстро восстанавливать активность бэкдора в случае завершения процесса или принудительного удаления. После активации Python-бэкдор собирает имя текущего пользователя через os.getlogin(), кодирует его в Base64 и передаёт в HTTP-заголовке Cookie на командно-контрольный сервер (C2-сервер - управляющий сервер злоумышленников). Ответ сервера представляет собой закодированный в Base64 Python-код, который сразу выполняется через функцию exec(). Результат выполнения кодируется и отправляется обратно на C2.

Таким образом, финальная полезная нагрузка представляет собой полноценный бэкдор удалённого выполнения команд. Он позволяет злоумышленнику собирать файлы, выполнять произвольные команды и поддерживать постоянный контроль над заражённой машиной. Примечательно, что для снижения подозрительности трафика использовался домен kmot.co[.]kr, а также IP-адреса, ранее фигурировавшие в атаках APT37. Схожие техники обфускации и те же C2-инфраструктуры уже встречались в прошлых кампаниях, включая случай использования поддельных удостоверений личности военных с применением дипфейков.

Эксперты подчёркивают, что обнаружение подобных угроз требует не столько сигнатурного анализа, сколько поведенческого мониторинга. Ключевые индикаторы: выполнение LNK-файлов из архивов, цепочка cmd.exe -> PowerShell, подозрительное использование curl.exe для загрузки файлов, создание сборочного окружения Python в общедоступных каталогах и переименование pythonw.exe. Поскольку злоумышленники легко меняют домены и имена файлов, эффективную защиту может обеспечить только система класса EDR, способная отслеживать взаимосвязи процессов и действий в рамках всей цепочки атаки. В противном случае организации рискуют пропустить первые признаки вторжения, что приведёт к длительному скрытому присутствию шпионского ПО в сети.

IPv4

• 183.111.174.69
• 211.239.157.126
• 218.150.78.198
• 220.73.160.23
• 51.158.21.1

Domains

• choisy.fr
• fe01.co.kr
• kmot.co.kr
• oxenhan1.cafe24.com
• printory.kr
• ycpatent.co.kr

MD5

• 09dabe5ab566e50ab4526504345af297
• 16d7be5ebc3c2ff1cffbb83b965fd4fb
• 1aa7751332710f4e963a708243d3d550
• 255155bad9af5e2c6cf550ff2a95219d
• 33c97fc4eacd73addbae9e6cde54a77d
• 7922f91281e8b0fe00518d05bf295b4a
• 804d12b116bb40282fbf245db885c093
• abbb362cdfe14b56b3a13a2a55937ee4
• b5f9cd67cb32f44c138c382e17b06fd6
• f7b2e0cebd7793c8cfee2c7c5b93df9c
• fcb97f87905a33af565b0a4f4e884d61