Хакери от ScarCruft използват услугата Ably за подслушване

Севернокорейският групов извършител, известен като ScarCruft, е наблюдаван да използва зловреден софтуер за кражба на информация с предишни недокументирани функции за подслушване, както и задна врата, разработена с помощта на Golang, която използва услугата за съобщения в реално време Ably.

„Извършителят е изпращал командите си чрез задна вратичка Golang, която използва услугата Ably“, се казва в техническия доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC). „Стойността на API ключа, необходим за комуникацията на командите, е била запазена в хранилище на GitHub“.

ScarCruft е спонсорирана от държавата организация, свързана с Министерството на държавната сигурност (МДС) на Северна Корея. Известно е, че тя е активна поне от 2012 г. насам.

Веригите от атаки, организирани от групата, включват използването на spear-phishing примамки за доставяне на RokRAT, въпреки че тя е използвала широк набор от други персонализирани инструменти за събиране на чувствителна информация.

При последното проникване, засечено от ASEC, имейлът идва с файл Microsoft Compiled HTML Help (.CHM) – тактика, за която се съобщава за първи път през март 2023 г. – който при щракване се свързва с отдалечен сървър, за да изтегли зловреден софтуер PowerShell, известен като Chinotto.

Chinotto, освен че е отговорен за създаването на устойчивост, извлича допълнителни полезни товари, включително задна врата с кодово име AblyGo (известна още като SidLevel от Kaspersky), която злоупотребява с Ably за командване и контрол.

Това не свършва дотук, тъй като AblyGo се използва като канал за окончателно изпълнение на зловреден софтуер за кражба на информация, наречен FadeStealer, който идва с различни функции за правене на снимки на екрана, събиране на данни от сменяеми носители и смартфони, регистриране на натискания на клавиши и запис на микрофон.

„Групата RedEyes извършва атаки срещу конкретни лица, като например севернокорейски дезертьори, активисти за човешки права и университетски преподаватели“, казва ASEC. „Основният им фокус е върху кражбата на информация.“

„Неразрешеното подслушване на физически лица в Южна Корея се счита за нарушение на неприкосновеността на личния живот и е строго регламентирано от съответните закони. Въпреки това заплахата следи всичко, което жертвите правят на компютъра си, и дори извършва подслушване.“

Файловете CHM са били използвани и от други свързани със Северна Корея групи, като Kimsuky, какво с SentinelOne разкрива неотдавнашна кампания, използваща файловия формат за предоставяне на разузнавателен инструмент, наречен RandomQuery.

В новия набор от атаки, забелязани от ASEC, CHM файловете са конфигурирани да пускат BAT файл, който след това се използва за изтегляне на следващ етап на зловреден софтуер и извличане на потребителска информация от компрометирания хост.

Spear-phishing- ът, който е предпочитана техника за първоначален достъп на Кимсуки вече повече от десетилетие, обикновено се предшества от широкообхватно проучване и щателна подготовка, се посочва в консултация на американските и южнокорейските разузнавателни служби.

Откритията следват и активното използване от Lazarus Group на пропуски в сигурността на софтуер като INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, който е широко използван в Южна Корея за пробив в компании и внедряване на зловреден софтуер.

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
Бъдете социални
Още по темата
03/10/2023

ФБР предупреждава за ръст н...

ФБР публикува съобщение за обществена услуга,...
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!