Operation Poseidon: APT-группа Konni обходит защиту с помощью рекламных ссылок и AutoIt-скриптов

Главной отличительной чертой кампании стало использование spear-phishing-писем со ссылками, имитирующими легитимный рекламный трафик таких платформ, как Google Ads и NAVER Marketing Platform. Злоумышленники внедряли URL-адреса своих командных серверов в параметры перенаправления легальных рекламных доменов, например, ad.doubleclick[.]net. В результате ссылки выглядели как переходы по рекламе, что позволяло эффективно обходить фильтры безопасности электронной почты и не вызывать подозрений у пользователей. Этот метод обеспечил высокий уровень успешности первоначального проникновения.

Для доставки вредоносной нагрузки атакующие использовали письма, маскирующиеся под уведомления южнокорейских финансовых организаций или неправительственные организации по правам человека в Северной Корее. В письмах содержались ссылки на ZIP-архивы, внутри которых находился LNK-файл (ярлык Windows). Его исполнение запускало цепочку действий: загрузку и выполнение скрипта AutoIt, который, в свою очередь, имитировал открытие PDF-файла, а в памяти системы загружал и исполнял модификацию удаленного доступа EndRAT.

Важным артефактом, позволившим исследователям идентифицировать кампанию, стал внутренний путь сборки, обнаруженный в скрипте AutoIt: "D:\3_Attack Weapon\Autoit\Build\__Poseidon - Attack\client3.3.14.a3x". Это указало на внутреннее название операции - «Poseidon» - и позволило связать атаку с группой Konni. В более поздних образцах эту строку удалили, что говорит о попытках злоумышленников скрыть следы после публикаций аналитиков.

Инфраструктура атаки также демонстрирует высокий уровень изощренности. Для размещения вредоносных файлов и организации командных серверов группа Konni систематически компрометировала плохо защищенные сайты на WordPress. Такой подход позволяет быстро менять инфраструктуру, сводя на нет эффективность блокировок на основе URL-адресов и доменных имен. Кроме того, в письмах использовалась техника обфускации: в невидимые части HTML-кода вставлялся большой объем бессмысленного английского текста. Это затрудняло работу систем обнаружения фишинга, основанных на анализе семантики и ключевых слов.

Атака является наглядным примером эволюции тактик, техник и процедур APT-групп. Для противодействия подобным угрозам недостаточно традиционных сигнатурных методов или блокировки отдельных индикаторов компрометации. Ключевая рекомендация экспертов - переход на многоуровневую стратегию защиты, центральным элементом которой являются системы обнаружения и реагирования на конечных точках.

EDR-решения, способные анализировать поведение процессов в реальном времени, критически важны для обнаружения таких сложных атак. Они позволяют выявлять аномальные цепочки выполнения, например, когда запуск LNK-файла приводит к выполнению AutoIt, а не к открытию легитимного документа. Корреляция событий на конечной точке, таких как выполнение скрипта, подозрительные PowerShell-команды и нехарактерные сетевые подключения, дает возможность прервать атаку на ранней стадии, до полного выполнения вредоносной нагрузки и установки постоянного доступа.

Operation Poseidon подчеркивает, что современные целевые атаки требуют от организаций комплексного подхода к безопасности. Он должен включать не только технические меры, такие как EDR и фильтрация почтового трафика с проверкой URL-перенаправлений, но и регулярное обучение сотрудников, особенно в части проверки вложений и ссылок в письмах, маскирующихся под деловую переписку от финансовых или государственных учреждений.

IPv4

• 109.234.36.135
• 144.124.247.97
• 77.246.101.72
• 77.246.108.96

Domains

• aceeyl.com
• althouqroastery.com
• anupamaivf.com
• appoitment.dotoit.media
• creativepackout.co
• encryptuganda.org
• genuinashop.com
• igamingroundtable.com
• jlrandsons.co.uk
• kppe.pl
• kyowaind.co.jp
• nationalinterestparty.com
• optique-leclercq.be
• pomozzi.com
• sparkwebsolutions.space
• tatukikai.jp
• vintashmarket.com

MD5

• 0171338d904381bbf3d1a909a48f4e92
• 0777781dedd57f8016b7c627411bdf2c
• 303c5e4842613f7b9ee408e5c6721c00
• 639b5489d2fb79bcb715905a046d4a54
• 6a4c3256ff063f67d3251d6dd8229931
• 8b8fa6c4298d83d78e11b52f22a79100
• 908d074f69c0bf203ed225557b7827ec
• 94935397dce29684f384e57f85beeb0a
• a58ef1e53920a6e528dc31001f302c7b
• a9a52e2f2afe28778a8537f955ee1310
• ad6273981cb53917cb8bda8e2f2e31a8
• d4b06cb4ed834c295d0848b90a109f09
• d6aa7e9ff0528425146e64d9472ffdbd
• f5842320e04c2c97d1f69cebfd47df3d