«Здравствуйте, я журналист, заполните анкету». Как хакеры из КНДР «разводят» южнокорейских экспертов
NewsMakerОперация Artemis показала, насколько уязвимы современные каналы связи.
В ходе масштабной вредоносной кампании под названием Operation Artemis, северокорейская хакерская группа APT37, также известная как ScarCruft, применила сложную тактику атак с использованием южнокорейского текстового редактора HWP и технологии подмены DLL-библиотек. Целью операции стали специалисты из Южной Кореи, преимущественно из сфер, связанных с политикой, СМИ и международными отношениями. Входным каналом атаки служили фишинговые письма с поддельными предложениями об интервью или участии в мероприятиях.
По данным южнокорейской компании Genians, злоумышленники выдавали себя за тележурналистов и учёных, рассылая потенциальным жертвам HWP-документы, замаскированные под анкеты или приглашения. Внутри документов скрывался OLE-объект, запускавший цепочку действий, в результате которой происходила загрузка вредоносной библиотеки через подмену DLL в контексте легитимного процесса. Такой подход позволял обходить сигнатурную защиту и затруднял анализ.
Особое внимание в отчёте Genians уделено использованию стеганографии: вредоносные данные маскировались в изображениях, в том числе ранее не зафиксированных портретах, что обеспечивало дополнительную скрытность. Также выявлены случаи повторного использования ранее применявшихся сценариев атак, вплоть до совпадения строк путей к отладочной информации (PDB), что указывает на систематическую работу одного и того же участника угрозы.
Модули вредоносной активности, такие как «version.dll», выполнялись через инструменты Sysinternals, позволявшие подгрузить вредоносный код под видом обычных служебных программ. Такой способ обходил статическую проверку на наличие подозрительных исполняемых файлов. Загруженная библиотека расшифровывала вредоносную нагрузку поэтапно, используя XOR с различными ключами, в том числе на уровне SSE, что ускоряло выполнение и повышало устойчивость к анализу.
В ходе масштабной вредоносной кампании под названием Operation Artemis, северокорейская хакерская группа APT37, также известная как ScarCruft, применила сложную тактику атак с использованием южнокорейского текстового редактора HWP и технологии подмены DLL-библиотек. Целью операции стали специалисты из Южной Кореи, преимущественно из сфер, связанных с политикой, СМИ и международными отношениями. Входным каналом атаки служили фишинговые письма с поддельными предложениями об интервью или участии в мероприятиях.
По данным южнокорейской компании Genians, злоумышленники выдавали себя за тележурналистов и учёных, рассылая потенциальным жертвам HWP-документы, замаскированные под анкеты или приглашения. Внутри документов скрывался OLE-объект, запускавший цепочку действий, в результате которой происходила загрузка вредоносной библиотеки через подмену DLL в контексте легитимного процесса. Такой подход позволял обходить сигнатурную защиту и затруднял анализ.
Особое внимание в отчёте Genians уделено использованию стеганографии: вредоносные данные маскировались в изображениях, в том числе ранее не зафиксированных портретах, что обеспечивало дополнительную скрытность. Также выявлены случаи повторного использования ранее применявшихся сценариев атак, вплоть до совпадения строк путей к отладочной информации (PDB), что указывает на систематическую работу одного и того же участника угрозы.
Модули вредоносной активности, такие как «version.dll», выполнялись через инструменты Sysinternals, позволявшие подгрузить вредоносный код под видом обычных служебных программ. Такой способ обходил статическую проверку на наличие подозрительных исполняемых файлов. Загруженная библиотека расшифровывала вредоносную нагрузку поэтапно, используя XOR с различными ключами, в том числе на уровне SSE, что ускоряло выполнение и повышало устойчивость к анализу.