Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка APT37 атакует журналистов КНДР с помощью GOLDBACKDOOR

28/04/22

northern press

Журналисты американского новостного сайта о Северной Корее NK News разоблачили атаки группы APT37 (она же Ricochet Chollima, Reaper, Group123 и ScarCruft) на журналистов КНДР с помощью новой вредоносной программы.

NK News с помощью исследователей из Stairwell обнаружили новое вредоносное ПО GOLDBACKDOOR.

“18 марта 2022 года NK News поделилась вредоносной группой скриптов с экспертами из Stairwell Threat, полученными в результате фишинг-кампании против журналистов из КНДР. Сообщения были отправлены с личной электронной почты бывшего директора Национальной разведывательной службы Южной Кореи (NIS).” – говорится в отчете Stairwell. “Одним из этих скриптов был новый образец вредоносного ПО, который мы назвали GOLDBACKDOOR.

По мнению экспертов Stairwell, новая вредоносная программа является преемником бэкдора BLUELIGHT, применяемым APT37, или используется параллельно с ним.

Бэкдор GOLDBACKDOOR развертывается на заключительном этапе многоступенчатого процесса, чтобы избежать обнаружения.

Отправленные журналистам фишинговые сообщения содержали ссылку на ZIP-архивы с LNK-файлами под названием "Правки Кан Мин Чхоля" (министр горнодобывающей промышленности Северной Кореи).

Архив был размещен по адресу 142.93.201[.]77 на домене dailynk[.]us, похожий на NK News (dailynk[.]com).

При открытии LNK-файла выполнялся сценарий PowerShell и открывал документ-приманку, содержащий ссылку на внешнее изображение с облачной платформы Heroku. При переходе пользователя по ссылке злоумышленники могли получать предупреждение при просмотре файла.

“После развертывания приманки сценарий PowerShell декодирует с помощью Invoke-Control второй сценарий, закодированный в шестнадцатеричном формате в переменной $temple. Второй сценарий PowerShell выполняет полезную нагрузку, хранящуюся в Microsoft OneDrive. Во время анализа эта полезная нагрузка была названа Fantasy.” – докладывают исследователи.

Fantasy является первой частью процесса развертывания вредоносного ПО.

Темы:ПреступленияAPT-группыКНДРсми
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...