Эксперты в области информационной безопасности продолжают фиксировать устойчивую тенденцию: продвинутые целевые атаки (APT, от англ. Advanced Persistent Threat) остаются одним из наиболее изощрённых и опасных инструментов в арсенале киберпреступников и групп, поддерживаемых государствами. Последние данные мониторинга, опубликованные южнокорейской компанией AhnLab за январь 2026 года, свидетельствуют о доминировании конкретного технического приёма - целевого фишинга (spear phishing) с использованием вредоносных ярлыков Windows (LNK-файлов). Этот факт подчёркивает, что, несмотря на развитие сложных методов проникновения, социальная инженерия в сочетании с относительно простыми техническими уловками по-прежнему демонстрирует высокую эффективность против даже подготовленных организаций.
Описание
Согласно отчёту, подавляющее большинство зафиксированных в январе 2026 года APT-атак на южнокорейские цели использовало именно метод целевого фишинга. В рамках этой тактики злоумышленники проводят предварительную разведку, собирая информацию о конкретных сотрудниках или отделах компании-жертвы. На основе этих данных создаётся персонализированное фишинговое письмо, которое выглядит максимально правдоподобно для получателя. Часто используется подделка адреса отправителя (спуфинг), что дополнительно увеличивает доверие. Основная цель такого письма - побудить пользователя открыть вредоносное вложение или перейти по опасной ссылке. В рассматриваемом периоде главным инструментом доставки вредоносной нагрузки стали именно ярлыки LNK.
Аналитики выделили две основные разновидности атак с использованием LNK-файлов, различающиеся по своей конечной полезной нагрузке и механизмам закрепления в системе. Первый тип (Type A) нацелен на загрузку и выполнение скомпрометированного скрипта для среды автоматизации AutoIt. Вредоносная команда, встроенная в свойства ярлыка, чаще всего реализована на PowerShell и инициирует соединение с внешним сервером для скачивания следующих этапов атаки. Характерной особенностью является маскировка легитимной утилиты командной строки curl.exe под безобидные имена, например, WpqNoXz.exe. Финальная стадия включает загрузку как легитимного исполняемого файла AutoIt, так и вредоносного скрипта для него. Чтобы обеспечить постоянное присутствие в системе, злоумышленники регистрируют задание в Планировщике заданий Windows. Полученный доступ позволяет выполнять команды, исследовать структуру каталогов, а также загружать и скачивать файлы с компьютера жертвы.
Файлы-приманки, использовавшиеся в этой кампании, были тщательно подобраны под локальный контекст и имитировали деловые документы: «(Анализ проблем, 2026-01-05) Итоги и перспективы китайской политики в 2025 году.docx.lnk», «Предложение о платном партнёрстве для кампании на YouTube.docx.lnk» или «Синопсис_Хочу в ту деревню.hwp.lnk». Такой подход значительно повышает шансы на успешное вовлечение сотрудников, работающих с внешнеполитической, маркетинговой или творческой деятельностью.
Второй тип атак (Type B) также использует LNK-файл для запуска PowerShell-команды, но конечной целью является загрузка вредоносного HTA-файла (HTML Application) в временную папку пользователя. Интересно, что для размещения вредоносного кода злоумышленники использовали публичные сервисы, такие как репозитории GitHub и Google Диск, вероятно, пытаясь обойти корпоративные фильтры, блокирующие прямые подключения к подозрительным доменам. Загружаемый HTA-файл, в свою очередь, создаёт в системе загрузчик, маскирующийся под безобидные имена вроде sys.dll. Его функционал обширен: это и сбор системной информации, списков файлов, данных о криптовалютных кошельках (инфостилер), и запись нажатий клавиш (кейлоггер), и выполнение произвольных команд от оператора атаки, что превращает скомпрометированную систему в полноценный бэкдор. Среди примеров файлов-приманок значатся «Уведомление из налоговой.pdf.lnk» или «Пароль.txt.lnk», что эксплуатирует темы, вызывающие срочность или любопытство.
Помимо фишинга, в отчёте также упоминается о случаях использования эксплойтов, однако их доля оказалась существенно ниже. Это указывает на сдвиг тактики: вместо поиска и эксплуатации дорогостоящих zero-day уязвимостей (атак на неизвестные уязвимости) или сложных цепочек 1-day, группы предпочитают вкладывать ресурсы в качественную социальную инженерию и отладку обхода детектирования на этапе выполнения скриптов. Использование легитимных системных инструментов, таких как PowerShell, curl или планировщик задач, в злонамеренных целях (техника Living off the Land) серьёзно затрудняет работу традиционных сигнатурных антивирусов и требует от защитных решений более глубокого поведенческого анализа.
Для специалистов по безопасности и SOC-аналитиков данные отчёта являются чётким сигналом к действию.
- Необходимо ужесточить политики обработки вложений типа LNK, HTA, JS и подобных скриптовых форматов на почтовых шлюзах.
- Критически важен постоянный тренинг персонала по распознаванию целевого фишинга, с акцентом на проверку адресов отправителя и контекста письма даже от, казалось бы, известных контактов.
- Технологии контроля приложений (Application Control) и сегментация сети могут предотвратить или ограничить выполнение несанкционированных скриптов и перемещение между системами.
- Активный мониторинг сетевой активности на предмет соединений с публичными облачными хранилищами в нетипичных для бизнес-процессов контекстах, а также анализ журналов на предмет аномального использования легитимных административных инструментов, должны стать неотъемлемой частью процедур обнаружения угроз.
Таким образом, современная защита от APT-групп требует комплексного подхода, где технические меры дополняются повышенной осведомлённостью пользователей и проактивным поиском аномалий в корпоративной среде.
