Търсене
Close this search box.

Севернокорейският групов извършител, известен като ScarCruft, е наблюдаван да използва зловреден софтуер за кражба на информация с предишни недокументирани функции за подслушване, както и задна врата, разработена с помощта на Golang, която използва услугата за съобщения в реално време Ably.

„Извършителят е изпращал командите си чрез задна вратичка Golang, която използва услугата Ably“, се казва в техническия доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC). „Стойността на API ключа, необходим за комуникацията на командите, е била запазена в хранилище на GitHub“.

ScarCruft е спонсорирана от държавата организация, свързана с Министерството на държавната сигурност (МДС) на Северна Корея. Известно е, че тя е активна поне от 2012 г. насам.

Веригите от атаки, организирани от групата, включват използването на spear-phishing примамки за доставяне на RokRAT, въпреки че тя е използвала широк набор от други персонализирани инструменти за събиране на чувствителна информация.

При последното проникване, засечено от ASEC, имейлът идва с файл Microsoft Compiled HTML Help (.CHM) – тактика, за която се съобщава за първи път през март 2023 г. – който при щракване се свързва с отдалечен сървър, за да изтегли зловреден софтуер PowerShell, известен като Chinotto.

Chinotto, освен че е отговорен за създаването на устойчивост, извлича допълнителни полезни товари, включително задна врата с кодово име AblyGo (известна още като SidLevel от Kaspersky), която злоупотребява с Ably за командване и контрол.

Това не свършва дотук, тъй като AblyGo се използва като канал за окончателно изпълнение на зловреден софтуер за кражба на информация, наречен FadeStealer, който идва с различни функции за правене на снимки на екрана, събиране на данни от сменяеми носители и смартфони, регистриране на натискания на клавиши и запис на микрофон.

„Групата RedEyes извършва атаки срещу конкретни лица, като например севернокорейски дезертьори, активисти за човешки права и университетски преподаватели“, казва ASEC. „Основният им фокус е върху кражбата на информация.“

„Неразрешеното подслушване на физически лица в Южна Корея се счита за нарушение на неприкосновеността на личния живот и е строго регламентирано от съответните закони. Въпреки това заплахата следи всичко, което жертвите правят на компютъра си, и дори извършва подслушване.“

Файловете CHM са били използвани и от други свързани със Северна Корея групи, като Kimsuky, какво с SentinelOne разкрива неотдавнашна кампания, използваща файловия формат за предоставяне на разузнавателен инструмент, наречен RandomQuery.

В новия набор от атаки, забелязани от ASEC, CHM файловете са конфигурирани да пускат BAT файл, който след това се използва за изтегляне на следващ етап на зловреден софтуер и извличане на потребителска информация от компрометирания хост.

Spear-phishing- ът, който е предпочитана техника за първоначален достъп на Кимсуки вече повече от десетилетие, обикновено се предшества от широкообхватно проучване и щателна подготовка, се посочва в консултация на американските и южнокорейските разузнавателни служби.

Откритията следват и активното използване от Lazarus Group на пропуски в сигурността на софтуер като INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, който е широко използван в Южна Корея за пробив в компании и внедряване на зловреден софтуер.

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!