«Псевдоохотники»: как хакеры-призраки годами шпионят за Южной Кореей

Группировка APT -C-60, известная как «Псевдоохотники», продолжает проводить кибершпионские кампании, нацеленные на госструктуры, бизнес и культурные организации Южной Кореи.

Специалисты 360 Advanced Threat Research Institute впервые зафиксировали активность APT -группы в 2018 году, но ретроспективный анализ показал, что атаки ведутся как минимум с 2014 года. Основные задачи злоумышленников — скрытное наблюдение за заражёнными устройствами и кража конфиденциальных данных.

За последние 6 лет исследователи проанализировали тысячи вредоносных образцов, выявив характерные изменения в используемых инструментах. Все атакующие инструменты можно разделить на пять ключевых категорий: Observer Installer, Observer, Backdoor Installer, Backdoor и Plugin. Компоненты позволяют атакующим сначала проникнуть в систему, затем закрепиться в ней, а после — осуществлять сбор данных и выполнять команды.

• Observer Installer играет роль первой волны атаки, загружая вредоносное ПО и обеспечивая скрытный запуск в системе. До 2023 года активно использовались JS и BMP загрузчики, но за последний год появились новые методы, повышающие стойкость угрозы;
• Observer отвечает за разведку. Компонент собирает информацию о системе жертвы и передаёт атакующим, которые решают, стоит ли развивать атаку дальше. Анализ версий Observer с 2018 по 2024 год показал, что злоумышленники постепенно улучшали сбор данных, меняли шифрование и добавляли новые методы уклонения от обнаружения;
• Backdoor Installer и Backdoor обеспечивают основной контроль над системой жертвы. Установка производится скрытно, через подмену системных файлов и использование уникальных методов шифрования. Используются стандартные команды управления, включая сбор информации, удалённое выполнение команд, управление процессами и кражу файлов;
• Plugin. Такие модули расширяют функциональность, позволяя записывать нажатия клавиш, делать скриншоты, извлекать файлы и даже внедрять новые уязвимости в систему.

По мере развития группировки менялись и методы сокрытия вредоносного кода. Если в 2018 году активно использовались стандартные методы AES-шифрования, то к 2024 году основным трендом стали сложные XOR-алгоритмы, модифицированные версии base64 и даже стеганография, использующая BMP-файлы для доставки полезной нагрузки.

APT-C-60 остаётся активным и технически продвинутым игроком в кибершпионском мире. Эксперты рекомендуют организациям повышать уровень кибербезопасности, внедрять методы поведенческого анализа угроз и регулярно обновлять защитные системы для противодействия подобным атакам.