Эксперты Genians Security Center (GSC) раскрыли детали сложной кибератаки под кодовым названием "Operation: ToyBox Story", организованной группировкой APT37, связанной с КНДР. В марте 2025 года злоумышленники провели целевую фишинговую кампанию против активистов, занимающихся северокорейской тематикой, используя изощрённую маскировку под южнокорейский аналитический центр по вопросам национальной безопасности. Атака началась с рассылки писем, приглашающих на мероприятие "Эра Трампа 2.0: Перспективы и ответные меры Южной Кореи", где вложения вели к Dropbox-ссылкам, содержащим вредоносные LNK-файлы. Этот метод отражает эволюцию тактики APT37, которая теперь активно эксплуатирует доверенные облачные платформы - Dropbox, pCloud и Yandex - для скрытого управления командными серверами (C2), что усложняет традиционное обнаружение угроз.
Описание
Особую тревогу вызывает механизм доставки вредоносного ПО. Злоумышленники использовали ZIP-архивы с названиями, имитирующими легитимные документы ("К северокорейским солдатам, развернутым на российском театре военных действий.zip" и "Связанный постер.zip"). Внутри находились LNK-файлы, активирующие многоступенчатую цепочку атак. При запуске они запускали PowerShell-скрипты, которые создавали в временных каталогах системы три скрытых файла (toy01.dat, toy02.dat, toy03.bat), реализующих файловую технику для обхода антивирусных решений. Ключевым элементом стал запуск обманного HWP-документа с письмом к северокорейским военным, отвлекающего жертву, пока в фоновом режиме происходит декодирование и выполнение резидентного вредоноса RoKRAT через динамическую загрузку шеллкода в память.
RoKRAT, основной инструмент APT37 в этой операции, продемонстрировал усложнённые возможности сбора данных. Он систематически извлекает критическую информацию: версию ОС Windows, имя устройства, учетные данные пользователя, данные BIOS и производителя системы. Особую опасность представляет функция создания скриншотов, которые сохраняются в %Temp% под случайными именами в формате JPEG, а затем шифруются многоуровневой схемой. Сначала данные обрабатываются XOR с 4-байтовым ключом (0xFA, 0xDE, 0xAD, 0xBA), затем шифруются AES-CBC-128 с RSA-защищённым ключом. Экфильтрация осуществляется через API облачных сервисов, включая api.dropboxapi[.]com, где злоумышленники использовали скомпрометированные токены доступа, привязанные к ящикам Yandex (rolf.gehrung@yandex.com, ekta.sahasi@yandex.com).
Анализ инфраструктуры APT37 выявил повторяющиеся паттерны. Группировка не только полагается на облачные C2, но и маскирует происхождение трафика через VPN-сервисы (NordVPN, AstrillVPN), что ранее документировалось в отчетах Google. Расследование GSC обнаружило сеть поддельных аккаунтов на LinkedIn, соответствующих именам в Yandex-почтах, что указывает на систематическую кражу идентичности для создания легенд. Сравнение с прошлыми кампаниями (например, распространение вредоносных HWP через мессенджеры в феврале 2025) подтвердило: RoKRAT сохраняет идентичную структуру кода, особенно в рутинах шифрования, что позволяет атакующим минимизировать изменения и фокусироваться на файловых векторах. Инструмент Capa от Mandiant FLARE выявил 89% совпадений в MBC-классификациях поведения, подчёркивая стабильность тактик APT37 в рамках MITRE ATT&CK (T1059, T1112, T1566).
Операция "ToyBox Story" иллюстрирует растущую изощрённость APT37 в социальной инженерии и эксплуатации доверия к глобальным платформам. Как отмечают эксперты GSC, "это не просто техническая угроза, а тщательно спланированная информационная война, где каждая деталь - от темы письма до иконки файла - работает на дезориентацию жертвы". В условиях, когда APT37 расширяет арсенал на macOS и Android, только комплексный подход, сочетающий технологические и образовательные меры, может снизить риски таких атак.
Индикаторы компрометации
IPv4
- 37.120.210.2
- 89.147.101.65
- 89.147.101.71
Emails
- ekta.sahasi@yandex.com
- gursimran.bindra@yandex.com
- navermail_noreply@mail.ru
- rolf.gehrung@yandex.com
- sandozmessi@gmail.com
- sneha.geethakrishnan@yandex.com
- softpower21cs@gmail.com
- tanessha.samuel@gmail.com
- tianling0315@gmail.com
- tiger.man.1999@mail.ru
- w.sarah0808@gmail.com
MD5
- 2f431c4e65af9908d2182c6a093bf262
- 324688238c42d7190a2b50303cbc6a3c
- 46ca088d5c052738d42bbd6231cc0ed5
- 723f80d1843315717bc56e9e58e89be5
- 7822e53536c1cf86c3e44e31e77bd088
- 7cc8ce5374ff9eacd38491b75cbedf89
- 81c08366ea7fc0f933f368b120104384
- 8f339a09f0d0202cfaffbd38469490ec
- a635bd019674b25038cd8f02e15eebd2
- beeaca6a34fb05e73a6d8b7d2b8c2ee3
- d5d48f044ff16ef6a4d5bde060ed5cee
- d77c8449f1efc4bfb9ebff496442bbbc