По данным Центра экстренного реагирования на угрозы безопасности AhnLab (ASEC), атака началась с рассылки электронных писем с заражёнными вложениями. Если пользователь открывал такое вложение, злоумышленник получал удалённый доступ к его компьютеру через веб-шелл, который маскировался под URL легитимного сайта, уже скомпрометированного хакерами.
Все сайты, использованные в этой атаке, были разработаны одной и той же корейской компанией по созданию сайтов, передает Securitylab. Название фирмы не называется по причинам безопасности. Компания обслуживает широкий круг клиентов из разных отраслей, включая производство, торговлю, электронику, образование, строительство, медицину и туризм. На всех сайтах была доступна административная страница, которую злоумышленник мог использовать для загрузки вредоносного ПО. Эксперты считают, что атаки были спланированы заранее и направлены на кражу данных клиентов и пользователей сайтов.
Представитель веб-студии сообщил, что атаки начались около недели назад и не прекращаются. Компания пытается восстановить работу сайтов и защитить данные своих клиентов. Представитель также посоветовал пользователям сайтов сменить свои пароли и проверить свои банковские счета.
Исследователи полагают, что за этой атакой стоит группа APT37 (она же RedEyes, ScarCruft, Ricochet Chollima, Reaper, Group123 или InkySquid) — это северокорейская хакерская группировка, которая занимается кибершпионажем. Считается, что она поддерживается властями КНДР. Недавно стало известно , что группировка использует новое уклончивое вредоносное ПО M2RAT и стеганографию для сбора разведданных. Кроме того, недавно исследователи безопасности из ИБ-компании Check Point обнаружили, что APT37 использует LNK-файлы для доставки RAT-трояна RokRAT с июля 2022 года.