НАЗАД К НОВОСТЯМ
Срочные новости

APT37 внедряет новое вредоносное ПО для проникновения в изолированные сети через съемные носители

4 мин чтенияИсточник: BleepingComputer

Северокорейская группа APT37 использует ранее неизвестное вредоносное ПО для обхода воздушных зазоров через USB-накопители. Узнайте о механизме атаки, целях и мерах защиты.

Северокорейская APT37 расширяет арсенал вредоносным ПО для взлома изолированных сетей

Исследователи в области кибербезопасности обнаружили новую кампанию северокорейской группы APT37 (также известной как Reaper или ScarCruft), в рамках которой используется ранее недокументированное вредоносное ПО, предназначенное для соединения изолированных сетей (air-gapped networks) с системами, подключенными к интернету. Атака основана на использовании съемных USB-накопителей для эксфильтрации данных и ведения слежки, что демонстрирует эволюцию тактик группы при атаках на среды с высоким уровнем безопасности.

Технические детали атаки

Вредоносное ПО, выявленное в ходе недавних расследований, действует через многоэтапный процесс заражения:

  1. Начальный вектор заражения: Атака начинается с фишинговых или целевых фишинговых писем (spear-phishing), что является распространенным методом проникновения для APT37. После компрометации системы вредоносное ПО обеспечивает постоянное присутствие (persistence) и ожидает подключения съемного носителя.

  2. Распространение через USB: При обнаружении подключенного USB-накопителя вредоносное ПО копирует себя на устройство, часто маскируя полезную нагрузку под легитимные файлы или используя техники autorun.inf для автоматического запуска при подключении.

  3. Преодоление воздушного зазора: При подключении к изолированной системе вредоносное ПО активируется, сканирует данные на предмет конфиденциальной информации и устанавливает скрытые каналы связи для эксфильтрации данных обратно на инфраструктуру, контролируемую злоумышленниками. Этот метод позволяет обойти традиционные сетевые средства защиты, полагаясь на физические носители для передачи данных.

  4. Возможности слежки: Вредоносное ПО включает модули для кейлоггинга (keylogging), захвата экрана (screen capture) и кражи файлов, что позволяет вести всестороннее наблюдение за скомпрометированными системами. Исследователи отмечают, что полезные нагрузки обладают высокой модульностью, что позволяет злоумышленникам адаптировать функциональность под конкретные цели.

Хотя для этих новых инструментов пока не присвоены CVE-идентификаторы, уровень сложности вредоносного ПО указывает на значительные усилия по уклонению от обнаружения, включая антианалитические техники (anti-analysis techniques), такие как обход песочниц (sandbox evasion) и зашифрованные каналы связи.

Последствия и цели атаки

Группа APT37 имеет историю атак на государственные учреждения, оборонных подрядчиков и объекты критической инфраструктуры в Южной Корее, Японии и на Ближнем Востоке. Переход группы к атакам на изолированные системы свидетельствует о фокусировке на высокозащищенных изолированных сетях, таких как используемые в военных, ядерных или финансовых секторах. Использование USB-носителей для распространения соответствует тактикам, наблюдаемым в других кампаниях, поддерживаемых государствами, включая Stuxnet и Agent.BTZ, хотя инструменты APT37, по-видимому, нацелены на шпионаж, а не на саботаж.

Это открытие подчеркивает постоянную угрозу, которую государственные киберпреступники представляют для изолированных сред, которые часто считаются безопасными благодаря физической изоляции. Однако зависимость от съемных носителей создает критическую уязвимость, так как даже один скомпрометированный USB-накопитель может стать мостом для эксфильтрации данных.

Меры защиты и рекомендации

Командам кибербезопасности, особенно тем, кто управляет изолированными или высокозащищенными сетями, следует внедрить следующие меры для снижения этой угрозы:

  • Контроль доступа к USB: Ограничьте использование съемных накопителей только авторизованным персоналом и внедрите белые списки (whitelisting) разрешенных устройств. Рассмотрите возможность отключения функции автозапуска (autorun) на всех системах.

  • Решения для обнаружения и реагирования на угрозы на конечных точках (EDR): Разверните EDR-решения, способные обнаруживать аномальное поведение, например, несанкционированную передачу файлов на съемные носители или необычное выполнение процессов.

  • Сегментация сети: Хотя изолированные системы физически изолированы, смежные сети должны быть сегментированы для ограничения горизонтального перемещения (lateral movement) в случае взлома.

  • Обучение сотрудников: Проводите тренинги по повышению осведомленности о рисках атак через USB-накопители, включая фишинговые кампании, которые могут предшествовать развертыванию вредоносного ПО.

  • Регулярные аудиты: Проводите частые аудиты изолированных систем для выявления несанкционированных изменений аппаратного или программного обеспечения. Внедрите мониторинг целостности файлов (FIM) для обнаружения подозрительных модификаций.

  • Обмен информацией об угрозах: Сотрудничайте с коллегами из отрасли и государственными органами для получения актуальной информации об угрозах от групп, подобных APT37. Отслеживайте индикаторы компрометации (IOC), связанные с этой кампанией.

Заключение

Обнаружение нового вредоносного ПО APT37 демонстрирует продолжающуюся игру в кошки-мышки между злоумышленниками и защитниками в высокозащищенных средах. Хотя изолированные сети остаются критически важным механизмом защиты, их уязвимость к атакам через физические носители требует многоуровневого подхода к безопасности. Организациям необходимо сохранять бдительность, сочетая технические меры контроля с проактивным поиском угроз для противодействия продвинутым постоянным угрозам (APT).

Для получения дополнительной информации, включая IOC и технический анализ, обратитесь к оригинальному отчету на BleepingComputer.

Поделиться

TwitterLinkedIn