Северокорейские хакеры атаковали правозащитников через доверенные облачные сервисы

Цель и методы целевого фишинга

Злоумышленники проявили заметную настойчивость, отправив одному и тому же получателю два последовательных фишинговых письма с разными легендами. Первое, датированное 8 мая, маскировалось под приглашение на семинар от имени влиятельного южнокорейского исследовательского института. Второе письмо, отправленное 10 мая, содержало просьбу заполнить «согласие на сбор персональных данных» для вступления в экспертную группу. Оба сообщения не содержали изощрённой графической подделки, что, однако, не уменьшило их эффективности при целевом подходе. Вместо вложений злоумышленники использовали ссылки на файлы, размещённые в сервисе MEGA. Это позволяет обходить ограничения почтовых систем на размер вложений и вызывает меньше подозрений у жертвы.

Техническая цепочка атаки: от ссылки к закреплению в системе

Ключевым элементом атаки стало использование файлов ярлыков Windows (LNK). Жертва, переходя по ссылке, загружала ZIP-архив, внутри которого находился LNK-файл с именем, повторяющим название архива. При его запуске выполнялся встроенный скрипт PowerShell. Его задача была многоэтапной. Сначала скрипт загружал из Dropbox исполняемый файл, маскирующийся под легитимный компонент (например, "sch_ha.db"), и сохранял его на диск. Затем, используя этот файл как конфигурацию, создавалась запись в Планировщике заданий Windows. Эта запись, замаскированная под задание обновления Google ("GoogleUpdateTaskMachineGUI"), обеспечивала постоянное выполнение (persistence) вредоносной нагрузки, запуская основной исполняемый файл ("ms.exe") каждые 18 минут из публичной директории.

Таким образом, атакующие использовали Dropbox не только для первоначальной доставки, но и в качестве канала командования и управления (Command and Control, C2). Через него могла осуществляться как передача данных с компрометированной системы, так и доставка дополнительных модулей.

Анализ тактик и возможные ошибки злоумышленников

Кампания хорошо вписывается в матрицу MITRE ATT&CK. Здесь наблюдаются техники фишинга (T1566), выполнение через API (T1059.001 - PowerShell), закрепление через Планировщик заданий (T1053.005) и использование веб-сервисов (T1102 - Dropbox, MEGA). Интересной деталью, указывающей на человеческий фактор в лагере атакующих, стала ошибка во втором письме. Ярлык, якобы ведущий к документу о согласии на обработку данных, на самом деле открывал совершенно посторонний PDF-файл с правилами оформления рукописей. Эта нестыковка могла бы насторожить внимательную жертву.

Широкая тенденция: атаки через доверенные сервисы

Данный инцидент - не изолированный случай, а часть растущей глобальной тенденции. Злоумышленники, особенно государственные APT-группы, всё чаще используют инфраструктуру популярных облачных провайдеров (Google Drive, Calendar, Dropbox, OneNote). Причина проста: трафик к этим доверенным доменам редко блокируется межсетевыми экранами и не вызывает срабатывания простых сигнатурных систем обнаружения вторжений (IDS). Это позволяет долгое время оставаться незамеченным в целевой сети.

Рекомендации по защите

Для противодействия подобным угрозам организациям и частным лицам, работающим в зоне риска, необходимо применять комплекс мер. Во-первых, критически важно повышать осведомлённость через регулярные тренировки по распознаванию целевого фишинга, уделяя внимание не только графике, но и анализу контекста, отправителя и URL. Во-вторых, в корпоративной среде стоит рассмотреть технические ограничения: блокировку прямого выполнения PowerShell-скриптов из ярлыков, строгий контроль за созданием заданий в Планировщике, а также применение политик, ограничивающих передачу исполняемых файлов через веб-прокси. В-третьих, эффективным средством обнаружения является мониторинг сетевой активности на предмет аномальных подключений к облачным хранилищам, особенно исходящих от систем, не использующих эти сервисы в рабочем процессе. Наконец, следует внедрять решения класса EDR (Endpoint Detection and Response), которые способны детектировать цепочки подозрительной активности на конечных точках, даже если каждый отдельный этап выглядит безобидно.

Атака APT43 наглядно показывает, что современная киберразведка успешно мимикрирует под обычную цифровую активность. В ответ защита должна смещаться от простого блокирования «плохих» доменов к глубокому анализу поведения и контекста, как в сетевом трафике, так и на конечных устройствах.

IPv4

• 103.149.98.230

URLs

• http://103.149.98.230/pprb/0220_pprb_man_1/an/d.php

MD5

• 03ff8afe005345b0da21a22abb81f6f0
• 16e4d36b927b557438f99e65d655bb77
• 7183295e6311ebaaea7794d8123a715e
• 77858edd84e4ff16be3bc8c61382cdeb
• 95dc9a26e141cfb6d4151e33f8514880
• b671a57ebb231b331f7b0567647f3535
• be3441678bf400672d525a9ea1880bdc
• c8eeac24eca23bd1df10b02d5430432d
• d6dbe504c314405b1782783b34fcf480
• e2fec8d5acc5e7df77ddd299333db8f4
• ed3e0f46de8ebba26235a8bb330a7634

• 17676049871.pdf