Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Группировка APT37 атакует журналистов КНДР с помощью GOLDBACKDOOR

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 01-09-2025, 02:44 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Новая вредоносная программа является преемником бэкдора BLUELIGHT

Журналисты американского новостного сайта о Северной Корее NK News разоблачили атаки группы APT37 (она же Ricochet Chollima, Reaper, Group123 и ScarCruft) на журналистов КНДР с помощью новой вредоносной программы.
NK News с помощью исследователей из Stairwell обнаружили новое вредоносное ПО GOLDBACKDOOR.
“18 марта 2022 года NK News поделилась вредоносной группой скриптов с экспертами из Stairwell Threat, полученными в результате фишинг-кампании против журналистов из КНДР. Сообщения были отправлены с личной электронной почты бывшего директора Национальной разведывательной службы Южной Кореи (NIS).” – говорится в отчете Stairwell. “Одним из этих скриптов был новый образец вредоносного ПО, который мы назвали GOLDBACKDOOR.
По мнению экспертов Stairwell, новая вредоносная программа является преемником бэкдора BLUELIGHT, применяемым APT37, или используется параллельно с ним.
Бэкдор GOLDBACKDOOR развертывается на заключительном этапе многоступенчатого процесса, чтобы избежать обнаружения.
Отправленные журналистам фишинговые сообщения содержали ссылку на ZIP-архивы с LNK-файлами под названием "Правки Кан Мин Чхоля" (министр горнодобывающей промышленности Северной Кореи).
Архив был размещен по адресу 142.93.201[.]77 на домене dailynk[.]us, похожий на NK News (dailynk[.]com).
При открытии LNK-файла выполнялся сценарий PowerShell и открывал документ-приманку, содержащий ссылку на внешнее изображение с облачной платформы Heroku. При переходе пользователя по ссылке злоумышленники могли получать предупреждение при просмотре файла.
“После развертывания приманки сценарий PowerShell декодирует с помощью Invoke-Control второй сценарий, закодированный в шестнадцатеричном формате в переменной $temple. Второй сценарий PowerShell выполняет полезную нагрузку, хранящуюся в Microsoft OneDrive. Во время анализа эта полезная нагрузка была названа Fantasy.” – докладывают исследователи.
Fantasy является первой частью процесса развертывания вредоносного ПО.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 12:32 AM.

Contact Us - Carder.life - Archive - Top