Профили группы APT - Larva-24005

С октября 2023 года эти злоумышленники атакуют программное обеспечение, энергетику и финансовую отрасль Южной Кореи и рассылают фишинговые письма в Южную Корею и Японию. Анализ инфраструктуры, используемой в атаках, подтвердил, что злоумышленники атаковали Южную Корею, США, Китай, Японию, Германию, Сингапур и другие страны, такие как ЮАР, Нидерланды, Мексика, Вьетнам, Бельгия, Великобритания, Канада, Таиланд и Польша, начиная с сентября 2023 года.

В некоторых системах первоначальный доступ был получен путем эксплуатации уязвимости RDP (BlueKeep, CVE-2019-0708). Хотя сканер уязвимости RDP был обнаружен во взломанной системе, нет никаких доказательств его фактического использования. Злоумышленник также использовал другие способы распространения вредоносного ПО, например, прикреплял один и тот же файл к электронным письмам и использовал уязвимость Microsoft Office Equation Editor (CVE-2017-11882).

Получив доступ к системе, злоумышленник использовал дроппер для установки вредоносной программы MySpy и RDPWrap, а также изменял системные настройки, чтобы разрешить доступ по RDP.

На заключительном этапе злоумышленник заражал систему кейлоггерами KimaLogger или RandomQuery для сбора вводимых пользователем ключей.

Журналы электронной почты показывают, что с некоторых систем, использовавшихся в атаке, жертвам в Корее и Японии были отправлены фишинговые письма.

Domains

• access-apollo-page.r-e.kr
• access-apollo-star7.kro.kr
• access-mogovernts.kro.kr
• apollo-page.r-e.kr
• apollo-star7.kro.kr

URLs

• http://star7.kro.kr/login/help/show.php?_Dom=991
• http://star7.kro.kr/login/img/show.php?uDt=177
• http://www.sign.in.mogovernts.kro.kr/rebin/include.php?_sys=7

MD5

• 1177fecd07e3ad608c745c81225e4544
• 14caab369a364f4dd5f58a7bbca34da6
• 184a4f3f00ca40d10790270a20019bb4
• 30bcac6815ba2375bef3daf22ff28698
• 46cd19c3dac997bfa1a90028a28b5045