Специалисты AhnLab раскрыли детали масштабных APT-атак на южнокорейские организации в апреле 2026 года

Согласно данным мониторинга, подавляющее большинство выявленных APT-атак (кампаний с использованием продвинутых методов скрытого проникновения) начиналось с так называемого spear-phishing - точечного фишинга, нацеленного на конкретных сотрудников. Злоумышленники подделывали адреса отправителей, вкладывали в письма вредоносные файлы и ссылки, чтобы обманом заставить пользователя запустить код. Отчёт AhnLab содержит подробную классификацию этих методик, причём каждая из них отличается способом доставки и конечной полезной нагрузкой.

Первый тип атак (обозначен как тип A) использовал LNK-файл (ярлык Windows) со встроенной командой PowerShell (язык сценариев для автоматизации задач в Windows). Этот ярлык обращался к внешнему URL для загрузки дополнительных компонентов. Характерная черта сценария - переименование системной утилиты curl.exe, после чего она запускалась с новым именем. Затем на компьютер попадали легитимная программа AutoIt и вредоносный скрипт на её языке. Для закрепления в системе (persistence) злоумышленники регистрировали задачу в планировщике Windows. Сам вредоносный скрипт AutoIt выполнял команды, просматривал каталоги, загружал и выгружал файлы.

Второй вариант (тип B) также начинался с LNK и PowerShell, но извлекал шестнадцатеричные данные по специальным маркерам (NCFO, BCFO). Это позволяло восстановить легитимный документ-приманку, настоящую программу AutoIt и вредоносный скрипт. Приманка открывалась перед пользователем, отвлекая внимание, а зловред исполнялся в папке C:\ProgramData. Для закрепления использовалась задача в планировщике, замаскированная под обновление OneDrive. Кроме того, инфицированная машина связывалась с атакующими через PubNub (облачный сервис для обмена сообщениями) - канал создавался на основе имени компьютера и учётной записи. Команды злоумышленников передавались в закодированном виде, а результаты выводились наружу в кодировке Base64.

Третий сценарий (тип C) отличался тем, что злоумышленники загружали HTA-файл (HTML-приложение) во временную папку с помощью всё той же утилиты curl.exe. Распространение HTA-файлов шло через репозитории GitHub и Google Диск, контролируемые атакующими. После запуска создавался файл-загрузчик с именем sys.dll, который загружал в память сразу несколько видов вредоносного ПО: программу для кражи информации (Infostealer), клавиатурный шпион (Keylogger) и бэкдор. Эти модули собирали данные о системе, списки файлов, а также информацию, связанную с криптовалютными активами.

Четвёртый тип (тип D) также использовал LNK и PowerShell, но генерировал данные в кодировке Base64 во временной папке. Затем происходило обращение к GitHub, откуда загружался файл-приманка и дополнительные скрипты. В системе создавалась задача в планировщике под видом обновления браузера. В результате на компьютер устанавливался XenoRAT - средство удалённого управления, позволяющее полностью контролировать заражённое устройство.

Пятый сценарий (тип E) включал сразу несколько языков: XML, VBS и PowerShell. С помощью этих скриптов генерировались данные, и создавалась задача в планировщике для обеспечения закрепления. PowerShell-скрипт, запускаемый через VBS, передавал информацию о системе вовне, затем загружал и выполнял BAT-файл. Тот, в свою очередь, запускал вредоносный скрипт на языке Python, упакованный в архив. Конечная цель - бэкдор, дающий атакующим возможность удалённого выполнения команд и управления файлами.

Помимо пяти основных типов, специалисты AhnLab отметили отдельные случаи, которые не укладывались в описанные схемы, хотя также распространялись через фишинг. Это говорит о высокой адаптивности злоумышленников: они комбинируют техники и постоянно модифицируют инструментарий.

Какие выводы можно сделать? Все пять сценариев объединяет стремление обойти традиционные средства защиты. Злоумышленники активно используют легитимные инструменты Windows - curl.exe и PowerShell, что позволяет им оставаться незамеченными для сигнатурных антивирусов. Применение AutoIt и легитимных документов-приманок снижает подозрения пользователя. А регистрация задач в планировщике под видом обновлений популярных программ (OneDrive, браузер) обеспечивает долговременное присутствие в сети.

Последствия успешной атаки серьёзны: установка бэкдоров, утечка системной информации, кража данных, включая сведения о криптовалютных кошельках. В ряде случаев злоумышленники могли получить полный контроль над рабочими станциями и серверами. Особенно тревожно, что атаки нацелены на южнокорейские организации - регион остаётся одной из горячих точек кибершпионажа.

Специалистам по информационной безопасности стоит учитывать эти векторы при настройке систем обнаружения. В первую очередь речь идёт о контроле запуска PowerShell и curl.exe, а также о мониторинге подозрительных задач в планировщике. Компаниям следует усилить проверку входящей почты, особенно писем, содержащих вложения с расширениями LNK, HTA, VBS. Пользователей необходимо регулярно обучать: не открывать файлы от неизвестных отправителей, обращать внимание на несоответствие адресов.

AhnLab уже обновила сигнатуры своих продуктов, которые детектируют данное вредоносное ПО под именами вроде Backdoor/Win.Agent.C5882829 или Trojan/LNK.Agent. Однако злоумышленники могут использовать новые модификации, не попавшие в базы. Поэтому ключевым фактором защиты остаётся проактивный подход: своевременное обновление операционных систем, браузеров и антивирусного ПО, а также внедрение методов поведенческого анализа. Как показывает практика, злоумышленники не останавливаются на одной тактике - они комбинируют разные техники, чтобы обойти защиту. Компаниям, работающим с конфиденциальными данными, стоит уделить первоочередное внимание мониторингу конечных точек и внедрению принципа наименьших привилегий.

URLs

• https://aplore.kesug.com/atratek/anyware.txt
• https://aplore.kesug.com/fixpril/energy.txt
• https://aplore.kesug.com/riln.php
• https://hypernotepad.com/n/9ad499c02eb051df
• https://sixtysixrealestate.com/wp-admin/maint/sophomore/?Eey=cWJvT0

MD5

• 04f017c65870791af565edcdd7407cf8
• 087955e719d00c7a0a07f1ed610894a2
• 0906e4d23fb07668c024263bc0311cff
• 0e5509da6e2d2f12250821b871b439c3
• 1194f56e15beb69fc41e498e240410f4