FadeStealer ansat af ScarCruft APT

Den nordkoreanske trusselgruppe ScarCruft er for nylig blevet observeret ved at bruge en hidtil ukendt informationstjælende malware, der inkluderer aflytning. Derudover har de udviklet en bagdør ved hjælp af Golang, der udnytter Ably-realtidsmeddelelsestjenesten.

En teknisk rapport fra AhnLab Security Emergency Response Center (ASEC) sagde, at trusselsaktøren brugte Ably-tjenesten til at sende deres kommandoer gennem Golang-bagdøren. Det blev opdaget, at den nødvendige API-nøgle til kommandokommunikation var gemt i et GitHub-lager.

ScarCruft, der menes at være tilknyttet Nordkoreas ministerium for statssikkerhed (MSS) og fungerer som en statssponsoreret enhed, har været aktiv siden mindst 2012.

Deres angrebsmetodologi involverer typisk spear-phishing-kampagner for at levere RokRAT-malwaren, selvom de også har brugt forskellige tilpassede værktøjer til at indsamle følsomme oplysninger.

Malware leveret i Microsoft Hjælp-fil

I den seneste hændelse, der blev opdaget af ASEC, indeholdt den ondsindede e-mail en Microsoft Compiled HTML Help (.CHM)-fil. Denne teknik, der oprindeligt blev rapporteret i marts 2023, udløser kontakt med en ekstern server ved klik, hvilket fører til download af en PowerShell malware kaldet Chinotto.

Chinotto introducerer, udover at etablere persistens og hente yderligere nyttelast, en bagdør kendt som AblyGo (også omtalt som SidLevel af Kaspersky), som udnytter Ably API-tjenesten til kommando-og-kontrolformål.

Ydermere fungerer AblyGo som en kanal til at eksekvere FadeStealer, en informationsstjælende malware udstyret med funktioner såsom at optage skærmbilleder, indsamle data fra flytbare medier og smartphones, logge tastetryk og optage lyd fra mikrofoner.

ASEC udtalte, at RedEyes-gruppen, som ScarCruft tilhører, specifikt retter sig mod enkeltpersoner som nordkoreanske afhoppere, menneskerettighedsaktivister og universitetsprofessorer med det primære formål at stjæle værdifuld information.

Uautoriseret aflytning af enkeltpersoner i Sydkorea betragtes som en krænkelse af privatlivets fred og er strengt reguleret under relevante love. Ikke desto mindre lykkedes det trusselsaktørerne at overvåge ofrenes aktiviteter på deres computere og foretog endda aflytning.

CHM-filer er blevet observeret brugt af andre Nordkorea-tilknyttede grupper, herunder Kimsuky. SentinelOne afslørede for nylig en kampagne, hvor filformatet blev brugt til at levere et rekognosceringsværktøj ved navn RandomQuery.

I det seneste sæt af angreb identificeret af ASEC er CHM-filerne konfigureret til at slippe en BAT-fil, som efterfølgende bruges til at downloade malware i yderligere stadier og udskille brugeroplysninger fra kompromitterede værter.

Spear-phishing, som har været Kimsukys foretrukne indledende adgangsteknik i mere end et årti, involverer typisk omfattende forskning og omhyggelig forberedelse, som fremhævet i vejledninger fra amerikanske og sydkoreanske efterretningstjenester.

Disse resultater kommer i kølvandet på Lazarus Groups udnyttelse af sikkerhedssårbarheder i udbredt sydkoreansk software, herunder INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream og VestCert, som en del af deres aktive kampagne for at infiltrere virksomheder og implementere malware.