Финансовые институты по всему миру, включая Южную Корею, в марте 2026 года столкнулись с серией скоординированных и многоуровневых кибератак. Вместо единичных инцидентов эксперты наблюдают комплексное наступление, сочетающее классический фишинг, эксплуатацию уязвимостей в легитимном ПО, компрометацию аккаунтов через мессенджеры, атаки программ-вымогателей и политически мотивированные DDoS. Такой комбинированный подход позволяет злоумышленникам не только проникать в сети, но и извлекать максимальную выгоду, применяя тактику двойного вымогательства и напрямую угрожая финансовой стабильности и репутации организаций.
Описание
Основным вектором начального проникновения остаётся фишинг, однако его методы стали более изощрёнными и локализованными. В частности, зафиксировано большое количество кампаний, где вредоносные вложения маскировались под документы с названиями на корейском языке, а для обхода традиционных защит использовались исполняемые HTML- и JavaScript-файлы. Этот метод позволяет напрямую запускать скрипты на компьютере жертвы без необходимости загрузки традиционного исполняемого файла, что усложняет обнаружение. Основными типами распространяемого вредоносного ПО стали веб-шеллы (web shell), бэкдоры, дропперы (dropper), загрузчики (downloader), инфостилеры (infostealer, программы для кражи данных) и майнеры криптовалют.
Параллельно с фишингом активизировались кампании по компрометации учетных записей через API популярного мессенджера Telegram. По внутренним оценкам исследователей, около 4% скомпрометированных таким образом аккаунтов принадлежали сотрудникам финансового сектора. Полученный доступ к корпоративной переписке или служебным каналам связи открывает злоумышленникам дополнительные возможности для социальной инженерии, сбора конфиденциальной информации или проведения дальнейших атак.
Особую опасность в отчётном периоде представляла эксплуатация уязвимости в легитимном программном обеспечении AnySign4PC, которая использовалась для проведения так называемых атак "водяной ямы" (watering hole). Эта тактика предполагает взлом легитимных веб-сайтов, которые часто посещают сотрудники целевой отрасли, и размещение на них эксплойта. Группа Lazarus, связанная с КНДР, успешно применила эту уязвимость для удалённого выполнения кода (RCE) на компьютерах посетителей. Исследователи отметили, что несколько сайтов, используемых для подобного распространения, активны продолжительное время, что указывает на долгосрочную и целенаправленную кампанию.
После проникновения и закрепления в системе злоумышленники переходят к извлечению прибыли. На теневых форумах в марте активно предлагались к продаже или публично декларировались к раскрытию крупные базы данных международных и корейских финансовых компаний. Среди заявленных целей фигурировали NR Capital (около 2 ТБ данных), Ameriprise (200 ГБ), Nu Colombia (30 тысяч документов) и Agrobanco (250 тысяч записей). Даже если часть заявлений является блефом, сам факт активных обсуждений таких утечек наносит репутационный ущерб и привлекает внимание других киберпреступных группировок.
Отдельную и наиболее разрушительную угрозу представляли атаки программ-вымогателей. Группы Apt73, PayoutsKing, WorldLeaks и другие подтвердили взломы организаций финансового сектора с последующей публикацией украденной информации на сайтах утечек данных (Data Leak Sites, DLS). Эта практика, известная как двойное вымогательство, значительно увеличивает давление на жертву: помимо необходимости расшифровать файлы, компания вынуждена платить за неразглашение конфиденциальных данных клиентов и партнёров, что создаёт риск масштабных утечек и регуляторных штрафов.
Завершающим штрихом в картине марта стали протестные DDoS-атаки, проводимые хактивистами. Хотя их основная цель - снижение доступности веб-сайтов банков и платёжных систем, - зачастую они сопровождались заявлениями о взломе и краже данных клиентов. Это создаёт дополнительную операционную нагрузку на команды безопасности, вынужденные одновременно бороться с последствиями DDoS и проверять обоснованность заявлений об утечках, что отвлекает ресурсы от реагирования на более серьёзные инциденты.
Итог месяца демонстрирует чёткий тренд: атаки на финансовый сектор превратились в многоэтапные операции, где каждый этап - от первоначального проникновения до финального вымогательства - служит достижению общей цели. Для противодействия этому финансовым институтам критически необходимо укреплять не только периметровую защиту, но и внутренние механизмы безопасности. Речь идёт о тщательном мониторинге и анализе логов, своевременном обновлении и исправлении уязвимостей во всём программном стеке, включая легитимные бизнес-приложения, надёжном резервном копировании и строгом контроле доступа по принципу минимальных привилегий. Не менее важным является отраслевое взаимодействие и оперативный обмен информацией об угрозах, а также готовность к быстрому публичному раскрытию информации об инцидентах и сотрудничеству с правоохранительными органами для минимизации ущерба и пресечения деятельности киберпреступных групп.
Индикаторы компрометации
URLs
- http://www.kimeye.com/kimeye
- https://chonanrent.co.kr/include/menu0206.php?id=20260123015897
- https://dominoworld.co.kr/
- https://myonlinestatus.net/list/dashboard/?id=20260123
- https://quordtechservice.com/www/bbs/?id=20260123015897
MD5
- 04f1f6e2d8a0cfb58c9dab5546bbd13f
- 3fc3962721c62a7352fb4230e36a6089
- 6e7a2aa1a62c90dc31e2b4fda1a7ad00
- 94c75cdb38a51621b8c8255db24b45a1
- b285748d5b50658b50fd974f034872f0
