Новый вектор атак APT37: фишинговые кампании под видом аналитических центров Южной Кореи и скрытые угрозы в облачных сервисах

APT

Эксперты Genians Security Center (GSC) раскрыли детали сложной кибератаки под кодовым названием "Operation: ToyBox Story", организованной группировкой APT37, связанной с КНДР. В марте 2025 года злоумышленники провели целевую фишинговую кампанию против активистов, занимающихся северокорейской тематикой, используя изощрённую маскировку под южнокорейский аналитический центр по вопросам национальной безопасности. Атака началась с рассылки писем, приглашающих на мероприятие "Эра Трампа 2.0: Перспективы и ответные меры Южной Кореи", где вложения вели к Dropbox-ссылкам, содержащим вредоносные LNK-файлы. Этот метод отражает эволюцию тактики APT37, которая теперь активно эксплуатирует доверенные облачные платформы - Dropbox, pCloud и Yandex - для скрытого управления командными серверами (C2), что усложняет традиционное обнаружение угроз.

Описание

Особую тревогу вызывает механизм доставки вредоносного ПО. Злоумышленники использовали ZIP-архивы с названиями, имитирующими легитимные документы ("К северокорейским солдатам, развернутым на российском театре военных действий.zip" и "Связанный постер.zip"). Внутри находились LNK-файлы, активирующие многоступенчатую цепочку атак. При запуске они запускали PowerShell-скрипты, которые создавали в временных каталогах системы три скрытых файла (toy01.dat, toy02.dat, toy03.bat), реализующих файловую технику для обхода антивирусных решений. Ключевым элементом стал запуск обманного HWP-документа с письмом к северокорейским военным, отвлекающего жертву, пока в фоновом режиме происходит декодирование и выполнение резидентного вредоноса RoKRAT через динамическую загрузку шеллкода в память.

Вектор атак APT37

RoKRAT, основной инструмент APT37 в этой операции, продемонстрировал усложнённые возможности сбора данных. Он систематически извлекает критическую информацию: версию ОС Windows, имя устройства, учетные данные пользователя, данные BIOS и производителя системы. Особую опасность представляет функция создания скриншотов, которые сохраняются в %Temp% под случайными именами в формате JPEG, а затем шифруются многоуровневой схемой. Сначала данные обрабатываются XOR с 4-байтовым ключом (0xFA, 0xDE, 0xAD, 0xBA), затем шифруются AES-CBC-128 с RSA-защищённым ключом. Экфильтрация осуществляется через API облачных сервисов, включая api.dropboxapi[.]com, где злоумышленники использовали скомпрометированные токены доступа, привязанные к ящикам Yandex (rolf.gehrung@yandex.com, ekta.sahasi@yandex.com).

Анализ инфраструктуры APT37 выявил повторяющиеся паттерны. Группировка не только полагается на облачные C2, но и маскирует происхождение трафика через VPN-сервисы (NordVPN, AstrillVPN), что ранее документировалось в отчетах Google. Расследование GSC обнаружило сеть поддельных аккаунтов на LinkedIn, соответствующих именам в Yandex-почтах, что указывает на систематическую кражу идентичности для создания легенд. Сравнение с прошлыми кампаниями (например, распространение вредоносных HWP через мессенджеры в феврале 2025) подтвердило: RoKRAT сохраняет идентичную структуру кода, особенно в рутинах шифрования, что позволяет атакующим минимизировать изменения и фокусироваться на файловых векторах. Инструмент Capa от Mandiant FLARE выявил 89% совпадений в MBC-классификациях поведения, подчёркивая стабильность тактик APT37 в рамках MITRE ATT&CK (T1059, T1112, T1566).

Операция "ToyBox Story" иллюстрирует растущую изощрённость APT37 в социальной инженерии и эксплуатации доверия к глобальным платформам. Как отмечают эксперты GSC, "это не просто техническая угроза, а тщательно спланированная информационная война, где каждая деталь - от темы письма до иконки файла - работает на дезориентацию жертвы". В условиях, когда APT37 расширяет арсенал на macOS и Android, только комплексный подход, сочетающий технологические и образовательные меры, может снизить риски таких атак.

Индикаторы компрометации

IPv4

  • 37.120.210.2
  • 89.147.101.65
  • 89.147.101.71

Emails

  • ekta.sahasi@yandex.com
  • gursimran.bindra@yandex.com
  • navermail_noreply@mail.ru
  • rolf.gehrung@yandex.com
  • sandozmessi@gmail.com
  • sneha.geethakrishnan@yandex.com
  • softpower21cs@gmail.com
  • tanessha.samuel@gmail.com
  • tianling0315@gmail.com
  • tiger.man.1999@mail.ru
  • w.sarah0808@gmail.com

MD5

  • 2f431c4e65af9908d2182c6a093bf262
  • 324688238c42d7190a2b50303cbc6a3c
  • 46ca088d5c052738d42bbd6231cc0ed5
  • 723f80d1843315717bc56e9e58e89be5
  • 7822e53536c1cf86c3e44e31e77bd088
  • 7cc8ce5374ff9eacd38491b75cbedf89
  • 81c08366ea7fc0f933f368b120104384
  • 8f339a09f0d0202cfaffbd38469490ec
  • a635bd019674b25038cd8f02e15eebd2
  • beeaca6a34fb05e73a6d8b7d2b8c2ee3
  • d5d48f044ff16ef6a4d5bde060ed5cee
  • d77c8449f1efc4bfb9ebff496442bbbc
Комментарии: 0