Severokorejská hackerská skupina APT37 byla identifikována jako aktér využívající sociální inženýrství prostřednictvím platformy Facebook k distribuci nebezpečného malwaru známého jako RokRAT. Tato sofistikovaná kampaň představuje další důkaz o rostoucí odvážnosti státem sponzorovaných kybernetických skupin, které k dosažení svých cílů zneužívají populární sociální sítě.
APT37, známá také pod názvy Reaper, ScarCruft nebo Group123, je pokročilá skupina trvalých hrozeb (Advanced Persistent Threat) napojená na severokorejskou vládu. Skupina je aktivní přinejmenším od roku 2012 a zaměřuje se především na jihokorejské cíle, přičemž v posledních letech rozšiřuje svůj záběr i na další země a odvětví.
Jak útok probíhá?
Útočníci z APT37 vytvářejí falešné nebo kompromitované profily na Facebooku, prostřednictvím nichž navazují kontakt s vytipovanými oběťmi. Tento přístup jim umožňuje budovat zdánlivě důvěryhodné vztahy a přimět oběti k otevření škodlivých souborů nebo kliknutí na nebezpečné odkazy.
Po úspěšném navázání kontaktu útočníci zasílají obětem obsah, který spouští infekční řetězec vedoucí k nasazení malwaru RokRAT. Tento nástroj pro vzdálený přístup (RAT) skupině APT37 umožňuje:
- Krást citlivé soubory z infikovaných zařízení
- Pořizovat snímky obrazovky bez vědomí oběti
- Zaznamenávat stisky kláves a monitorovat aktivitu uživatele
- Spouštět příkazy na napadeném systému na dálku
RokRAT – oblíbená zbraň APT37
RokRAT je malware, který skupina APT37 používá již řadu let a průběžně jej zdokonaluje. Jeho charakteristickým rysem je využívání legitimních cloudových služeb – například Microsoft OneDrive, Google Drive nebo Dropbox – jako komunikačních kanálů s řídícími servery (C2). Tím útočníci ztěžují odhalení škodlivé aktivity, protože provoz splývá s běžným firemním provozem.
Volba Facebooku jako vektoru útoku není náhodná. Sociální sítě představují prostředí, kde uživatelé přirozeně projevují nižší míru ostražitosti než například při práci s firemní e-mailovou komunikací. Přátelský a neformální charakter interakcí na sociálních platformách útočníkům usnadňuje manipulaci s oběťmi a zvyšuje pravděpodobnost úspěchu celé operace.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
