Новый вектор атак APT37: фишинговые кампании под видом аналитических центров Южной Кореи и скрытые угрозы в облачных сервисах

Особую тревогу вызывает механизм доставки вредоносного ПО. Злоумышленники использовали ZIP-архивы с названиями, имитирующими легитимные документы ("К северокорейским солдатам, развернутым на российском театре военных действий.zip" и "Связанный постер.zip"). Внутри находились LNK-файлы, активирующие многоступенчатую цепочку атак. При запуске они запускали PowerShell-скрипты, которые создавали в временных каталогах системы три скрытых файла (toy01.dat, toy02.dat, toy03.bat), реализующих файловую технику для обхода антивирусных решений. Ключевым элементом стал запуск обманного HWP-документа с письмом к северокорейским военным, отвлекающего жертву, пока в фоновом режиме происходит декодирование и выполнение резидентного вредоноса RoKRAT через динамическую загрузку шеллкода в память.

RoKRAT, основной инструмент APT37 в этой операции, продемонстрировал усложнённые возможности сбора данных. Он систематически извлекает критическую информацию: версию ОС Windows, имя устройства, учетные данные пользователя, данные BIOS и производителя системы. Особую опасность представляет функция создания скриншотов, которые сохраняются в %Temp% под случайными именами в формате JPEG, а затем шифруются многоуровневой схемой. Сначала данные обрабатываются XOR с 4-байтовым ключом (0xFA, 0xDE, 0xAD, 0xBA), затем шифруются AES-CBC-128 с RSA-защищённым ключом. Экфильтрация осуществляется через API облачных сервисов, включая api.dropboxapi[.]com, где злоумышленники использовали скомпрометированные токены доступа, привязанные к ящикам Yandex (rolf.gehrung@yandex.com, ekta.sahasi@yandex.com).

Анализ инфраструктуры APT37 выявил повторяющиеся паттерны. Группировка не только полагается на облачные C2, но и маскирует происхождение трафика через VPN-сервисы (NordVPN, AstrillVPN), что ранее документировалось в отчетах Google. Расследование GSC обнаружило сеть поддельных аккаунтов на LinkedIn, соответствующих именам в Yandex-почтах, что указывает на систематическую кражу идентичности для создания легенд. Сравнение с прошлыми кампаниями (например, распространение вредоносных HWP через мессенджеры в феврале 2025) подтвердило: RoKRAT сохраняет идентичную структуру кода, особенно в рутинах шифрования, что позволяет атакующим минимизировать изменения и фокусироваться на файловых векторах. Инструмент Capa от Mandiant FLARE выявил 89% совпадений в MBC-классификациях поведения, подчёркивая стабильность тактик APT37 в рамках MITRE ATT&CK (T1059, T1112, T1566).

Операция "ToyBox Story" иллюстрирует растущую изощрённость APT37 в социальной инженерии и эксплуатации доверия к глобальным платформам. Как отмечают эксперты GSC, "это не просто техническая угроза, а тщательно спланированная информационная война, где каждая деталь - от темы письма до иконки файла - работает на дезориентацию жертвы". В условиях, когда APT37 расширяет арсенал на macOS и Android, только комплексный подход, сочетающий технологические и образовательные меры, может снизить риски таких атак.

IPv4

• 37.120.210.2
• 89.147.101.65
• 89.147.101.71

Emails

• ekta.sahasi@yandex.com
• gursimran.bindra@yandex.com
• navermail_noreply@mail.ru
• rolf.gehrung@yandex.com
• sandozmessi@gmail.com
• sneha.geethakrishnan@yandex.com
• softpower21cs@gmail.com
• tanessha.samuel@gmail.com
• tianling0315@gmail.com
• tiger.man.1999@mail.ru
• w.sarah0808@gmail.com

MD5

• 2f431c4e65af9908d2182c6a093bf262
• 324688238c42d7190a2b50303cbc6a3c
• 46ca088d5c052738d42bbd6231cc0ed5
• 723f80d1843315717bc56e9e58e89be5
• 7822e53536c1cf86c3e44e31e77bd088
• 7cc8ce5374ff9eacd38491b75cbedf89
• 81c08366ea7fc0f933f368b120104384
• 8f339a09f0d0202cfaffbd38469490ec
• a635bd019674b25038cd8f02e15eebd2
• beeaca6a34fb05e73a6d8b7d2b8c2ee3
• d5d48f044ff16ef6a4d5bde060ed5cee
• d77c8449f1efc4bfb9ebff496442bbbc