Търсене
Close this search box.

Хакери от ScarCruft използват услугата Ably за подслушване

Севернокорейският групов извършител, известен като ScarCruft, е наблюдаван да използва зловреден софтуер за кражба на информация с предишни недокументирани функции за подслушване, както и задна врата, разработена с помощта на Golang, която използва услугата за съобщения в реално време Ably.

„Извършителят е изпращал командите си чрез задна вратичка Golang, която използва услугата Ably“, се казва в техническия доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC). „Стойността на API ключа, необходим за комуникацията на командите, е била запазена в хранилище на GitHub“.

ScarCruft е спонсорирана от държавата организация, свързана с Министерството на държавната сигурност (МДС) на Северна Корея. Известно е, че тя е активна поне от 2012 г. насам.

Веригите от атаки, организирани от групата, включват използването на spear-phishing примамки за доставяне на RokRAT, въпреки че тя е използвала широк набор от други персонализирани инструменти за събиране на чувствителна информация.

При последното проникване, засечено от ASEC, имейлът идва с файл Microsoft Compiled HTML Help (.CHM) – тактика, за която се съобщава за първи път през март 2023 г. – който при щракване се свързва с отдалечен сървър, за да изтегли зловреден софтуер PowerShell, известен като Chinotto.

Chinotto, освен че е отговорен за създаването на устойчивост, извлича допълнителни полезни товари, включително задна врата с кодово име AblyGo (известна още като SidLevel от Kaspersky), която злоупотребява с Ably за командване и контрол.

Това не свършва дотук, тъй като AblyGo се използва като канал за окончателно изпълнение на зловреден софтуер за кражба на информация, наречен FadeStealer, който идва с различни функции за правене на снимки на екрана, събиране на данни от сменяеми носители и смартфони, регистриране на натискания на клавиши и запис на микрофон.

„Групата RedEyes извършва атаки срещу конкретни лица, като например севернокорейски дезертьори, активисти за човешки права и университетски преподаватели“, казва ASEC. „Основният им фокус е върху кражбата на информация.“

„Неразрешеното подслушване на физически лица в Южна Корея се счита за нарушение на неприкосновеността на личния живот и е строго регламентирано от съответните закони. Въпреки това заплахата следи всичко, което жертвите правят на компютъра си, и дори извършва подслушване.“

Файловете CHM са били използвани и от други свързани със Северна Корея групи, като Kimsuky, какво с SentinelOne разкрива неотдавнашна кампания, използваща файловия формат за предоставяне на разузнавателен инструмент, наречен RandomQuery.

В новия набор от атаки, забелязани от ASEC, CHM файловете са конфигурирани да пускат BAT файл, който след това се използва за изтегляне на следващ етап на зловреден софтуер и извличане на потребителска информация от компрометирания хост.

Spear-phishing- ът, който е предпочитана техника за първоначален достъп на Кимсуки вече повече от десетилетие, обикновено се предшества от широкообхватно проучване и щателна подготовка, се посочва в консултация на американските и южнокорейските разузнавателни служби.

Откритията следват и активното използване от Lazarus Group на пропуски в сигурността на софтуер като INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, който е широко използван в Южна Корея за пробив в компании и внедряване на зловреден софтуер.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

Ботнет е изпратил милиони и...

От април насам милиони фишинг имейли...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!