Севернокорейският групов извършител, известен като ScarCruft, е наблюдаван да използва зловреден софтуер за кражба на информация с предишни недокументирани функции за подслушване, както и задна врата, разработена с помощта на Golang, която използва услугата за съобщения в реално време Ably.
„Извършителят е изпращал командите си чрез задна вратичка Golang, която използва услугата Ably“, се казва в техническия доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC). „Стойността на API ключа, необходим за комуникацията на командите, е била запазена в хранилище на GitHub“.
ScarCruft е спонсорирана от държавата организация, свързана с Министерството на държавната сигурност (МДС) на Северна Корея. Известно е, че тя е активна поне от 2012 г. насам.
Веригите от атаки, организирани от групата, включват използването на spear-phishing примамки за доставяне на RokRAT, въпреки че тя е използвала широк набор от други персонализирани инструменти за събиране на чувствителна информация.
При последното проникване, засечено от ASEC, имейлът идва с файл Microsoft Compiled HTML Help (.CHM) – тактика, за която се съобщава за първи път през март 2023 г. – който при щракване се свързва с отдалечен сървър, за да изтегли зловреден софтуер PowerShell, известен като Chinotto.
Chinotto, освен че е отговорен за създаването на устойчивост, извлича допълнителни полезни товари, включително задна врата с кодово име AblyGo (известна още като SidLevel от Kaspersky), която злоупотребява с Ably за командване и контрол.
Това не свършва дотук, тъй като AblyGo се използва като канал за окончателно изпълнение на зловреден софтуер за кражба на информация, наречен FadeStealer, който идва с различни функции за правене на снимки на екрана, събиране на данни от сменяеми носители и смартфони, регистриране на натискания на клавиши и запис на микрофон.
„Групата RedEyes извършва атаки срещу конкретни лица, като например севернокорейски дезертьори, активисти за човешки права и университетски преподаватели“, казва ASEC. „Основният им фокус е върху кражбата на информация.“
„Неразрешеното подслушване на физически лица в Южна Корея се счита за нарушение на неприкосновеността на личния живот и е строго регламентирано от съответните закони. Въпреки това заплахата следи всичко, което жертвите правят на компютъра си, и дори извършва подслушване.“
Файловете CHM са били използвани и от други свързани със Северна Корея групи, като Kimsuky, какво с SentinelOne разкрива неотдавнашна кампания, използваща файловия формат за предоставяне на разузнавателен инструмент, наречен RandomQuery.
В новия набор от атаки, забелязани от ASEC, CHM файловете са конфигурирани да пускат BAT файл, който след това се използва за изтегляне на следващ етап на зловреден софтуер и извличане на потребителска информация от компрометирания хост.
Spear-phishing- ът, който е предпочитана техника за първоначален достъп на Кимсуки вече повече от десетилетие, обикновено се предшества от широкообхватно проучване и щателна подготовка, се посочва в консултация на американските и южнокорейските разузнавателни служби.
Откритията следват и активното използване от Lazarus Group на пропуски в сигурността на софтуер като INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, който е широко използван в Южна Корея за пробив в компании и внедряване на зловреден софтуер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.