A DarkHotel és az APT-C-60 csoport kapcsolata

Editors' Pick

2024. szeptember elején a Positive Technologies Expert Security Center (PT ESC) fenyegetéselemző (TI) részlegének szakemberei egy gyanús VHDX virtuális lemezképet azonosítottak – ami rendkívül ritka esemény egy adatfolyamban. A VHDX és az összes kapcsolódó fájl elemzését követően a fájllal összefüggő kibertevékenységet az APT-C-60 csoportnak tulajdonították. A ThreatBook szakértői 2023 júliusában írták le az egyik legutóbbi hasonló kampányt. A PT ESC csapata azonban talált néhány különbséget ahhoz a korábbi kampányhoz képest mind a lemezen lévő fájlhierarchiában, mind a használt parancsokban és eszközökben. A PT friss cikkében felvázolja a virtuális lemezen lévő fájlok szerkezetét, a támadási lánc elemzését, a további fájlok keresését, az okokat, amelyek miatt úgy gondolják, hogy ez a támadás az APT-C-60 csoporthoz köthető, valamint azt, hogy ezek a támadók hogyan kapcsolódnak a DarkHotel csoporthoz.

Az APT-C-60 egy kiberkémkedő csoport, amelyet először 2021-ben azonosítottak. Elsődleges támadási célpontjaik közé tartoznak az ipari szervezetek – elsősorban dél-koreai félvezetőgyártók, valamint kelet-ázsiai szervezetek. A csoport a támadásokhoz rosszindulatú fájlokat tartalmazó adathalász e-maileket használ, és szoftverhibákat is kihasznál, például a WPS Office sérülékenységét, hogy telepítse a SpyGlace malware-t.

A DarkHotel a Kaspersky által 2014-ben azonosított hackercsoport. A csoport feltehetően 2007 óta aktív. Az üzleti, gyártási, kormányzati és más ágazatok magas rangú tisztviselői ellen indított támadásairól ismert. A csoport tagjai feltehetően Dél-Koreából származnak, és elsősorban kiberkémkedéssel és az ázsiai-csendes-óceáni térség felsővezetői megfigyelésével foglalkoznak.

    Forrás