Севернокорейският групов извършител, известен като ScarCruft, е наблюдаван да използва зловреден софтуер за кражба на информация с предишни недокументирани функции за подслушване, както и задна врата, разработена с помощта на Golang, която използва услугата за съобщения в реално време Ably.

„Извършителят е изпращал командите си чрез задна вратичка Golang, която използва услугата Ably“, се казва в техническия доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC). „Стойността на API ключа, необходим за комуникацията на командите, е била запазена в хранилище на GitHub“.

ScarCruft е спонсорирана от държавата организация, свързана с Министерството на държавната сигурност (МДС) на Северна Корея. Известно е, че тя е активна поне от 2012 г. насам.

Веригите от атаки, организирани от групата, включват използването на spear-phishing примамки за доставяне на RokRAT, въпреки че тя е използвала широк набор от други персонализирани инструменти за събиране на чувствителна информация.

При последното проникване, засечено от ASEC, имейлът идва с файл Microsoft Compiled HTML Help (.CHM) – тактика, за която се съобщава за първи път през март 2023 г. – който при щракване се свързва с отдалечен сървър, за да изтегли зловреден софтуер PowerShell, известен като Chinotto.

Chinotto, освен че е отговорен за създаването на устойчивост, извлича допълнителни полезни товари, включително задна врата с кодово име AblyGo (известна още като SidLevel от Kaspersky), която злоупотребява с Ably за командване и контрол.

Това не свършва дотук, тъй като AblyGo се използва като канал за окончателно изпълнение на зловреден софтуер за кражба на информация, наречен FadeStealer, който идва с различни функции за правене на снимки на екрана, събиране на данни от сменяеми носители и смартфони, регистриране на натискания на клавиши и запис на микрофон.

„Групата RedEyes извършва атаки срещу конкретни лица, като например севернокорейски дезертьори, активисти за човешки права и университетски преподаватели“, казва ASEC. „Основният им фокус е върху кражбата на информация.“

„Неразрешеното подслушване на физически лица в Южна Корея се счита за нарушение на неприкосновеността на личния живот и е строго регламентирано от съответните закони. Въпреки това заплахата следи всичко, което жертвите правят на компютъра си, и дори извършва подслушване.“

Файловете CHM са били използвани и от други свързани със Северна Корея групи, като Kimsuky, какво с SentinelOne разкрива неотдавнашна кампания, използваща файловия формат за предоставяне на разузнавателен инструмент, наречен RandomQuery.

В новия набор от атаки, забелязани от ASEC, CHM файловете са конфигурирани да пускат BAT файл, който след това се използва за изтегляне на следващ етап на зловреден софтуер и извличане на потребителска информация от компрометирания хост.

Spear-phishing- ът, който е предпочитана техника за първоначален достъп на Кимсуки вече повече от десетилетие, обикновено се предшества от широкообхватно проучване и щателна подготовка, се посочва в консултация на американските и южнокорейските разузнавателни служби.

Откритията следват и активното използване от Lazarus Group на пропуски в сигурността на софтуер като INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, който е широко използван в Южна Корея за пробив в компании и внедряване на зловреден софтуер.

Източник: The Hacker News

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
Бъдете социални
Още по темата
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
24/04/2025

Над 350 000 пациенти засегн...

Американският доставчик на медицински услуги Onsite...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!