В марте 2026 года южнокорейский рынок стал ареной для серии сложных и многоступенчатых атак со стороны групп повышенной угрозы (APT). Согласно мониторингу экспертов AhnLab, основным вектором проникновения остаётся целенаправленный фишинг, предваряемый тщательной разведкой. Однако тактика злоумышленников демонстрирует изощрённое сочетание классических методов и новых подходов к обходу защиты, что создаёт серьёзные риски как для корпоративного сектора, так и для государственных организаций. Основная цель атакующих - полный захват контроля над системами для последующей кражи конфиденциальной информации.
Описание
Большинство инцидентов начинались с получения сотрудниками целевых компаний spear-phishing (целевых фишинговых рассылок). Вложения в этих письмах, как правило, маскировались под легитимные документы, но на деле содержали механизмы для запуска вредоносного кода. Доминирующим вектором распространения стали файлы ярлыков с расширением .LNK. Аналитики выделили несколько основных сценариев атаки, каждый из которых представляет собой многоэтапную цепочку.
Первый тип (Type A) использует LNK-файл для запуска PowerShell, который, в свою очередь, загружает и исполняет вредоносную программу на основе скриптового языка AutoIt. Для обеспечения закрепления в системе используется утилита планировщика заданий (Task Scheduler), а в процессе задействуется копия легитимной утилиты curl.exe, что помогает скрыть подозрительную сетевую активность. Второй сценарий (Type B) также использует curl для загрузки вредоносного HTA-файла во временную папку, после чего исполняет файл-приманку и резидентный бэкдор, загружаемый непосредственно в память процесса из DLL-библиотеки. Этот бэкдор сочетает функции сбора информации (инфорстилера) и инструменты для манипуляции системой.
Особого внимания заслуживает третий тип атак (Type C), где злоумышленники активно используют публичные ресурсы. Создаётся Base64-кодированный скрипт, который затем загружает с платформы GitHub как файл-приманку, так и дополнительные скрипты для распространения вредоносного ПО семейства XenoRAT. Это осложняет детектирование, так как трафик на доверенный домен github.com может не вызывать подозрений у базовых систем защиты. Четвёртый и пятый сценарии (Type D и E) демонстрируют исключительную многоступенчатость. Type D реализует цепочку исполнения через последовательность XML, VBS, PowerShell, BAT и Python скриптов, в итоге устанавливая бэкдор с функциями удалённого выполнения команд и управления файлами. Type E использует JSE-файл для создания вредоносных DLL и файлов-приманок в каталоге %ProgramData%, после чего внедряет код в память легитимного процесса regsvr32.exe для скрытного выполнения функций бэкдора.
Специалисты AhnLab сообщили, что уже ведут детектирование и отслеживание ряда связанных образцов, присваивая им сигнатуры в своих продуктах и мониторируя активность угрозы через собственную систему ASEC. В опубликованном отчёте содержится обширный список индикаторов компрометации, включая имена файлов, MD5-хеши, а также вредоносные URL-адреса и домены командных серверов. Однако эксперты предупреждают о высокой вероятности существования ещё не обнаруженных вариантов этой вредоносной кампании, что подчёркивает её адаптивность.
Итогом успешной атаки по любому из описанных сценариев становится полный контроль злоумышленников над рабочей станцией жертвы. Это открывает путь для удалённого выполнения команд, кражи учетных данных, документов и другой критически важной информации с помощью бэкдоров, инфостилеров и кейлоггеров. Подобные инциденты могут привести к масштабным утечкам данных, финансовым потерям и операционным простоям. В текущих условиях специалистам по информационной безопасности необходимо усилить мониторинг электронной почты, особенно вложений в форматах LNK, HTA, JSE и скриптовых файлов, даже если они прибывают из, казалось бы, знакомых контекстов. Крайне важно поддерживать актуальными не только антивирусные решения, но и операционные системы, браузеры и всё используемое программное обеспечение для минимизации поверхности атаки. Проактивный поиск аномалий в работе планировщика заданий и нехарактерной сетевой активности, в том числе на доверенные домены вроде GitHub, становится не просто рекомендацией, а необходимостью.
Индикаторы компрометации
URLs
- http://brestcastle.n-e.kr/default.php
- https://github.com/workspacesnorep-creator/supreme-guacamole/releases/download/v1.0.0/pwko.zip
- https://kflhfc.mailhubsec.com/
- https://raw.githubusercontent.com/motoralis/singled/main/baby/slipe.cor
- https://raw.githubusercontent.com/motoralis/singled/main/minjun/slipe.cor
MD5
- 0315ede7bd934b6a0aa2611193b2e169
- 056ddce53d52f2502ea011de967d2d2a
- 059bb6c439ffedc61d9168c23552202c
- 0733b003b30232b95f69071f6e026a26
- 083a23dc2f6845af45a56c1041deab53
