В феврале 2026 года специализированные группы угроз, целенаправленно атакующие Южную Корею, продемонстрировали устойчивую тенденцию к использованию социальной инженерии. Мониторинговая инфраструктура южнокорейской компании AhnLab, занимающейся кибербезопасностью, зафиксировала, что подавляющее большинство атак было реализовано через метод целевого фишинга. Этот подход, в отличие от массовых рассылок, подразумевает тщательную подготовку и сбор информации о конкретных жертвах, что значительно повышает доверие к зловредным сообщениям. В рамках этого тренда наиболее распространённым вектором стали атаки с использованием ярлыков операционной системы Windows в формате LNK, а также скомпилированных HTML-справок (CHM-файлов). Такие методы позволяют злоумышленникам обходить базовые средства защиты и доставлять вредоносный код на компьютеры сотрудников целевых организаций.
Описание
Целевой фишинг остаётся краеугольным камнем в арсенале APT-групп, действующих в регионе. Перед атакой злоумышленники проводят фазу разведки, собирая данные о потенциальных жертвах. Это позволяет создавать персонализированные и правдоподобные письма, которые с большей вероятностью будут открыты и не вызовут подозрений. Зачастую используется подмена адреса отправителя, что ещё больше затрудняет идентификацию угрозы. В письмах обычно содержится либо вредоносное вложение, либо ссылка, побуждающая пользователя совершить опасное действие, например, открыть файл или ввести учётные данные.
Согласно отчёту AhnLab, атаки с использованием LNK-файлов в феврале можно разделить на несколько технических типов. Первый тип (Type A) был нацелен на загрузку вредоносного ПО, написанного на скриптовом языке AutoIt. При выполнении LNK-ярлыка запускается зловредная команда PowerShell, которая соединяется с внешним URL-адресом для загрузки дополнительных файлов. В процессе используется легитимная утилита "curl.exe", которая копируется под другим именем (например, "WpqNoXz.exe") для маскировки. Итоговая цепочка приводит к загрузке как легального исполняемого файла AutoIt, так и зловредного скрипта для него. Для обеспечения постоянного присутствия в системе загруженные файлы регистрируются в Планировщике заданий Windows. Этот скрипт обладает широким функционалом, включая выполнение команд, поиск по каталогам, а также загрузку и выгрузку файлов по указанию оператора. В качестве приманки злоумышленники использовали файлы с названиями вроде "NTS_Refund account registration and confirmation guide.html.lnk", эксплуатируя тему налоговых возвратов.
Второй идентифицированный тип атак (Type B) также использует LNK-файлы для инициирования цепочки заражения, но с иной полезной нагрузкой (payload). В этом случае ярлык запускает встроенную в Windows утилиту "curl.exe" для загрузки и выполнения вредоносного HTA-файла (HTML Application) во временную папку пользователя ("%TEMP%"). Исходные вредоносные файлы распространялись через скомпрометированные или созданные злоумышленниками репозитории на GitHub и аккаунты Google Drive. Создаваемый загрузчик маскируется под файлы с именами "sys.dll" и легитимными документами-приманками. Его основная функция - загрузка на систему сразу нескольких типов вредоносного ПО: инфостилера (Infostealer), предназначенного для кражи системной информации и файлов; кейлоггера, перехватывающего нажатия клавиш; и бэкдора, позволяющего атакующему удалённо выполнять команды. В дистрибуции использовались LNK-файлы с именами "password.txt.lnk" и "refund_inquiry.pdf.lnk", что указывает на попытки выдать их за документы, связанные с паролями или финансовыми запросами.
Устойчивая активность APT-групп, фокусирующихся на Южной Корее, подчёркивает высокий уровень целевых киберугроз для государственных и коммерческих структур региона. Использование многоступенчатых атак с легитимными системными утилитами, таких как PowerShell и "curl.exe", позволяет злоумышленникам эффективно уклоняться от детектирования традиционными антивирусными решениями, которые могут доверять подписанному коду Microsoft. Регистрация в автозагрузке через Планировщик заданий обеспечивает долгосрочное закрепление в системе даже после перезагрузки.
Для эффективного противодействия подобным угрозам специалистам по информационной безопасности необходимо усиливать защиту на нескольких уровнях. Во-первых, критически важны регулярные тренинги по киберграмотности для сотрудников, обучающие распознаванию признаков целевого фишинга, особенно писем с неожиданными вложениями, даже если они выглядят правдоподобно. Во-вторых, требуется внедрение технических мер, таких как строгое ограничение выполнения скриптов (PowerShell, HTA) в рабочей среде, применение политик AppLocker или аналогичных решений для контроля за запуском приложений, а также мониторинг сетевой активности на предмет необычных исходящих соединений, инициированных системными процессами. Кроме того, SOC-командам рекомендуется настраивать правила корреляции в SIEM-системах для обнаружения аномальных цепочек событий, например, последовательного запуска LNK-файла, PowerShell и сетевой активности "curl.exe". Комплексный подход, сочетающий осведомлённость пользователей, жёсткие политики безопасности и продвинутый мониторинг, является ключевым для снижения рисков от высококвалифицированных APT-атак.
Индикаторы компрометации
IPv4
- 175.126.77.244
- 211.41.79.37
URLs
- http://midp.wuaze.com/aes.js
- http://newjo-imd.com/common/include/member/default.php
- http://user.billmatedoc.mydns.bz/pol/bootservice.php
- https://hypernotepad.com/n/af50736386afcbc1
- https://jipmani.com/images/favo.png
MD5
- 02e78557f41bab8c93870148e1314fae
- 059bb6c439ffedc61d9168c23552202c
- 063faa06c63e4091ff8df4acffeb10be
- 069ad147bfa2cc4fca6f28d15c88cae8
- 078af92e709c79fb56ebaade6cafa748
