Киберугрозы Южной Кореи: фишинг и RAT-атаки доминируют в октябре 2025 года

Целевой фишинг или спирфишинг, представляет собой высокоспециализированную атаку, нацеленную на конкретных лиц или организации. В отличие от массового спама, злоумышленники предварительно собирают разведывательные данные о своих жертвах. Полученная информация используется для создания персонализированных писем, которые вызывают больше доверия у получателей. Часто для этого применяется подмена адреса отправителя. Такие письма обычно содержат вредоносные вложения или ссылки, побуждающие пользователей к их открытию.

Специалисты выделили две основные методики, используемые в этих кампаниях. Атаки первого типа, обозначенные как Type A, нацелены на выполнение RAT (Remote Access Trojan, трояна удаленного доступа). Злоумышленники распространяют архивы, содержащие наряду с обычными файлами вредоносные LNK-ярлыки. Эти ярлыки содержат команды PowerShell, которые, в свою очередь, используют API облачных сервисов, таких как Dropbox и Google Drive, для загрузки основной вредоносной нагрузки (payload). На компьютере жертвы создаются дополнительные скриптовые файлы и обфусцированные версии RAT. Затем трояны, идентифицированные как XenoRAT и RoKRAT, начинают выполнять команды злоумышленников.

Вредоносная активность включает кейлоггинг и перехват снимков экрана. Для маскировки атакующие используют файлы с правдоподобными названиями, такими как "График подачи документов", "Устав Ассоциации гражданского обмена и сотрудничества между Кореями" или "Северокорейская ядерная угроза в эру Трампа 2.0". Эти названия имитируют реальные рабочие документы, относящиеся к политике, безопасности и административной деятельности.

Атаки второго типа, Type B, направлены на доставку вредоносного ПО, написанного на скриптовом языке AutoIt. Механизм запуска также основан на LNK-файлах, содержащих вредоносные команды PowerShell. Ключевой особенностью является использование легитимной утилиты curl.exe, которая копируется под другим именем, например, WpqNoXz.exe, для загрузки дополнительных файлов с внешних ресурсов. В результате на диск попадают как легитимная программа AutoIt, так и вредоносный скрипт для неё.

Для обеспечения постоянного присутствия (persistence) в системе загруженные файлы регистрируются в Планировщике заданий. Это гарантирует их повторный запуск. Вредоносный скрипт AutoIt обладает широким функционалом, включая выполнение произвольных команд, поиск по файловой системе, а также загрузку и выгрузку файлов. Для обмана пользователей применяются файлы-приманки (decoy files), которые создают видимость открытия легитимного документа, например, связанного с налоговым законодательством или спонсорскими предложениями.

Эксперты подчеркивают, что современные APT-кампании становятся все более изощренными. Сочетание социальной инженерии, использования легитимных инструментов и сложных методов обеспечения устойчивости в системе представляет серьезный вызов для систем защиты. Специалисты по кибербезопасности рекомендуют организациям усилить тренинг по распознаванию фишинга, сегментировать сети и строго контролировать выполнение скриптов и PowerShell. Непрерывный мониторинг и анализ тактик злоумышленников, подобный тому, что ведет AhnLab, остаются критически важными для противодействия развивающимся угрозам.

URLs

• http://dlfleidj1.n-e.kr/
• http://newjo-imd.com/common/include/library/default.php
• http://newjo-imd.com/common/include/library/settings.ini
• http://www.qqwefafaw.p-e.kr/index.php
• https://b2bdoreka.com/wp-admin/css/plugin/climate/?rv=bear&za=battle0

MD5

• 089ae8b91642bc246bb0420cc811c5f3
• 0a546c215bbeb03d759f82d31d395ffe
• 0a564f880868e043978e36175f56d353
• 0c1e2150e5ce95d5ae31f02a449614b5
• 0ced9ecd0ebf44836962b12f18fb81aa