Рост целевых фишинговых атак в Южной Корее: август 2025 года

Согласно отчету AhnLab Smart Defense (ASD) за август 2025 года, Южная Корея столкнулась со значительным увеличением количества Advanced Persistent Threat (APT) атак, преимущественно использующих методы целевого фишинга. Мониторинг угроз типа APT (Advanced Persistent Threats) показал, что файлы LNK, распространяемые через тщательно подготовленные электронные письма, стали наиболее распространенным вектором атак.

Описание

Специалисты AhnLab, используя систему ASD, зафиксировали, что целевой фишинг остаётся основным методом компрометации. В отличие от массового фишинга, злоумышленники проводят тщательную разведку, собирая информацию о конкретных лицах или организациях, что позволяет создавать более убедительные и персонализированные сообщения. Часто используется подделка электронной почты, а письма содержат вредоносные вложения или ссылки, которые приводят к загрузке вредоносного программного обеспечения.

Наиболее распространёнными в августе стали атаки с использованием LNK-файлов, которые подразделяются на два основных типа. Тип А involves создание сжатого CAB-файла, содержащего несколько вредоносных скриптов для сбора информации и загрузки дополнительных вредоносных программ. LNK-файл включает команду PowerShell, которая извлекает данные CAB-файла и файла-приманки, создавая их на компьютере жертвы. После распаковки выполняются скрипты (bat, ps1, vbs), способные похищать данные и загружать дополнительные payload. Среди идентифицированных имён файлов: "Shareholder Confirmation.docx.lnk", "Xangle_Token_Matrix_Lockup.xlsx.lnk" и другие, маскирующиеся под документы юридического и финансового содержания.

Тип B нацелен на выполнение RAT (Remote Access Trojan) malware, такого как XenoRAT и RoKRAT. Распространяются в сжатом архиве вместе с легитимным файлом. Файл LNK содержит вредоносную команду PowerShell, которая использует API Dropbox или Google Drive для загрузки вредоносного кода или создает дополнительные скрипты и запутывающие RAT на устройстве пользователя. После выполнения троянец способен к кейлоггингу, съёмке экрана и другим действиям по команде злоумышленников. Имена файлов включали темы, связанные с медициной, политикой, академическими исследованиями и национальной безопасностью, например: "Internal Medicine_Han_20250825.lnk", "Recent Changes in the Situation in North Korea and the Unification Environment on the Korean Peninsula.lnk".

Эксперты отмечают, что атаки демонстрируют высокий уровень адаптации под интересы жертв, используя актуальные темы, такие как геополитика, научные публикации и корпоративные документы. Это повышает вероятность успешного вовлечения получателей. Для противодействия рекомендуется усилить проверку вложений, отключить выполнение скриптов через PowerShell без необходимости, и проводить регулярное обучение сотрудников по кибербезопасности.