I nordcoreani di APT37 sono noti per le loro tattiche evasive e sofisticate nel campo della cyber sicurezza. Da anni, questo gruppo di hacker ha continuato a evolversi, adottando nuove strategie per infiltrare i sistemi e rubare dati sensibili. Uno dei loro metodi più recenti consiste nell’utilizzare i gruppi di chat per distribuire file LNK maliziosi, che possono sembrare innocui ma in realtà contengono payload maliciosi. In questo articolo, esploreremo come APT37 utilizza questi file LNK per attaccare le vittime e quali sono le strategie di difesa per proteggersi da questi attacchi.
Come funzionano i file LNK maliziosi di APT37?
I file LNK (Shortcut) sono tipicamente utilizzati per creare collegamenti veloci ai file e alle applicazioni sul desktop. Tuttavia, i nordcoreani di APT37 hanno trovato un modo per utilizzare questi file per distribuire malware. Ecco come funzionano questi attacchi:
- Disguise e Trappole Sociali
- I file LNK maliziosi sono spesso embedati in archivi ZIP e presentati con icone e nomi di file familiari per ingannare le vittime. Ad esempio, un file potrebbe essere etichettato come “Cambiamenti nella politica nordcoreana della Cina.zip” per convincere le persone a aprirlo[1].
- Esecuzione del Payload
- Una volta aperto il file LNK, il payload malizioso viene eseguito. Questo payload contiene comandi PowerShell che decodificano e eseguono script nascosti. Queste tecniche di esecuzione fileless evitano la detezione da parte degli antivirus tradizionali[1].
- Infezione Multi-stadio
- Il payload iniziale decodifica e esegue un payload secondario, spesso il malware RokRAT. Questo malware è un potente RAT (Remote Access Trojan) capace di esfiltrare dati, catturare screenshot e eseguire comandi remoti[1].
- Utilizzo di Servizi Cloud
- APT37 utilizza servizi cloud come pCloud e OneDrive per le operazioni di controllo e comando (C2), rendendo più difficile la detezione degli attacchi[1].
Strategie di Difesa
Per proteggersi da questi attacchi, è essenziale adottare una serie di strategie di difesa:
- Sorveglianza dei File
- Disabilitare l’impostazione “Nascondi estensioni per tipi di file noti” per identificare facilmente estensioni doppie come
.pdf.lnk
[1].
- Disabilitare l’impostazione “Nascondi estensioni per tipi di file noti” per identificare facilmente estensioni doppie come
- Educazione degli Utenti
- Educare gli utenti sui rischi di aprire file non richiesti, anche da contatti fidati. La cura e l’attenzione sono fondamentali per evitare gli attacchi social[1].
- Sistemi di Detezione dei Rischi
- Utilizzare soluzioni di detezione e risposta dei punti finali (EDR) capaci di rilevare comportamenti anomali, come l’esecuzione di malware fileless[1].
- Monitoraggio delle Attività
- Monitorare le attività degli utenti e rilevare eventuali comportamenti sospetti, come l’apertura di file non richiesti o l’esecuzione di script sconosciuti[1].
Indicazioni di Compromissione (IoCs)
Gli analisti di sicurezza hanno identificato alcune IoCs associate a questa campagna:
- MD5 Hashes:
1a70a013a56673f25738cf145928d0f5
[1].
I nordcoreani di APT37 continuano a evolversi e adottare nuove strategie per infiltrare i sistemi e rubare dati sensibili. Utilizzare i file LNK maliziosi nei gruppi di chat è solo uno degli esempi delle loro tattiche sofisticate. Per proteggersi da questi attacchi, è essenziale adottare una serie di strategie di difesa, comprese l’educazione degli utenti, la sorveglianza dei file e l’utilizzo di soluzioni di detezione dei rischi avanzate. La vigilanza e la proattività sono fondamentali per contrastare le minacce avanzate persistenti come quelle rappresentate da APT37.
Fonte: https://gbhackers.com/apt37-hackers-exploit-group-chats