В сентябре 2025 года южнокорейские компании столкнулись с масштабной кампанией целевых кибератак, использующих изощренные методы социальной инженерии. Согласно отчету лаборатории Ahnlab, специализирующейся на кибербезопасности, более 90% инцидентов были реализованы через механизм целевого фишинга (spear phishing), причем доминирующим вектором атаки стали LNK-файлы - ярлыки Windows, содержащие вредоносные команды.
Описание
Целевые атаки (APT, Advanced Persistent Threat) демонстрируют растущую изощренность корейских хакерских группировок. В отличие от массового фишинга, злоумышленники проводят тщательную разведку, собирая персональные данные жертв для персонализации писем. Часто используется подделка адреса отправителя (email spoofing), что повышает доверие к сообщениям. Основная цель - доставка вредоносных вложений или ссылок, имитирующих легитимные документы.
Среди обнаруженных образцов преобладают два типа атак с использованием LNK-файлов. Первый вариант (Type A) предполагает создание CAB-архивов со скриптами, которые извлекают данные и загружают дополнительные вредоносные программы. Встроенная команда PowerShell декомпрессирует архив, активируя BAT-, PS1- и VBS-скрипты для сбора информации о системе и последующей загрузки полезной нагрузки. Зафиксированные имена файлов включают «Отчет о зарубежных финансовых счетах (Изменения).hwp.lnk» и «Подтверждение получения криптовалюты.docx.lnk», что указывает на ориентацию на финансовый сектор.
Второй тип атак (Type B) нацелен на развертывание удаленных троянов (RAT, Remote Access Trojan). Злоумышленники используют облачные сервисы Dropbox и Google Drive для доставки вредоносного кода либо создают обфусцированные скрипты в системных каталогах. Идентифицированные семейства RAT - XenoRAT и RoKRAT - способны к кейлоггингу (фиксации нажатий клавиш), захвату скриншотов и выполнению произвольных команд. Среди приманок - документы с названиями вроде «Материалы по введению пуста_2025 версия.lnk» и «Автоматическое руководство по оплате (Страхование)-Безопасность.lnk», эксплуатирующие темы бюрократических процедур.
Эксперты отмечают, что злоумышленники активно используют легитимные облачные сервисы для обхода традиционных систем безопасности. Это усложняет обнаружение атак, поскольку трафик к Dropbox или Google Drive редко блокируется корпоративными фильтрами. Кроме того, применение LNK-файлов позволяет миновать защиту, ориентированную на классические исполняемые файлы.
Для противодействия таким угрозам рекомендуется реализовать многоуровневую стратегию безопасности. Критически важным является обучение сотрудников распознаванию фишинговых писем, особенно с вложениями необычных типов. Технические меры включают блокировку выполнение сценариев PowerShell в неподписанных контекстах, ограничение прав доступа к системным каталогам и внедрение решений класса EDR (Endpoint Detection and Response) для мониторинга подозрительной активности.
Данные сентябрьской статистики подтверждают глобальный тренд: APT-группы все чаще комбинируют социальную инженерию с легитимными инструментами, что требует пересмотра традиционных моделей киберзащиты. Для организаций, работающих в регионе Юго-Восточной Азии, актуальна реализация фреймворка MITRE ATT&CK для моделирования тактик злоумышленников и проактивного выявления аномалий.
Индикаторы компрометации
IPv4
- 174.138.186.157
- 77.246.101.72
URLs
- http://alie.kr/7QMjWk1
- http://bohyeonsanvil.com/attach_file/1370165248.php?bbs=LVDqR4I75jCvGMQ05DaMX&data=LVDqR4I75jCvGMQ05DaMX4njddTY8RMILVD
- http://easy1.n-e.kr/
- http://heydenlloyd.com/js/common/src/list.php
- http://heydenlloyd.com/js/common/src/upload.php
MD5
- 0093df05c6b1a6c92041fcd5e95dbb56
- 021075f570a533b931a395c1431ec8d1
- 04a8cc8808d4c7c5f57274ad26c1f3a3
- 07c805272f08d742f6cba957c8c9eb29
- 08304c397b00afd94e075c32824edfc3
