FadeStealer Angestellt bei ScarCruft APT

Kürzlich wurde beobachtet, dass die nordkoreanische Bedrohungsgruppe ScarCruft eine bisher unbekannte Schadsoftware zum Informationsdiebstahl einsetzt, die auch Abhörfunktionen umfasst. Darüber hinaus haben sie mithilfe von Golang eine Hintertür entwickelt, die den Echtzeit-Messaging-Dienst Ably ausnutzt.

In einem technischen Bericht des AhnLab Security Emergency Response Center (ASEC) heißt es, dass der Bedrohungsakteur den Ably-Dienst nutzte, um seine Befehle über die Golang-Hintertür zu übertragen. Es wurde festgestellt, dass der erforderliche API-Schlüssel für die Befehlskommunikation in einem GitHub-Repository gespeichert ist.

ScarCruft, das vermutlich mit dem nordkoreanischen Ministerium für Staatssicherheit (MSS) verbunden ist und als staatlich geförderte Einrichtung fungiert, ist seit mindestens 2012 aktiv.

Ihre Angriffsmethodik umfasst typischerweise Spear-Phishing-Kampagnen zur Verbreitung der RokRAT-Malware, obwohl sie auch verschiedene angepasste Tools zum Sammeln sensibler Informationen eingesetzt haben.

In der Microsoft-Hilfedatei bereitgestellte Malware

Bei dem jüngsten von ASEC entdeckten Vorfall enthielt die schädliche E-Mail eine von Microsoft kompilierte HTML-Hilfedatei (.CHM). Diese Technik, über die erstmals im März 2023 berichtet wurde, löst beim Klicken einen Kontakt mit einem Remote-Server aus, was zum Download einer PowerShell-Malware namens Chinotto führt.

Chinotto führt nicht nur Persistenz ein und ruft zusätzliche Nutzlasten ab, sondern führt auch eine Hintertür namens AblyGo (von Kaspersky auch als SidLevel bezeichnet) ein, die den Ably-API-Dienst für Befehls- und Kontrollzwecke ausnutzt.

Darüber hinaus dient AblyGo als Kanal für die Ausführung von FadeStealer, einer informationsstehlenden Malware, die über Funktionen wie das Aufnehmen von Screenshots, das Sammeln von Daten von Wechselmedien und Smartphones, das Protokollieren von Tastenanschlägen und das Aufzeichnen von Audio von Mikrofonen verfügt.

ASEC erklärte, dass die RedEyes-Gruppe, zu der ScarCruft gehört, gezielt Personen wie nordkoreanische Überläufer, Menschenrechtsaktivisten und Universitätsprofessoren ins Visier nimmt, mit dem vorrangigen Ziel, wertvolle Informationen zu stehlen.

Unbefugtes Abhören von Personen in Südkorea gilt als Verletzung der Privatsphäre und ist durch die einschlägigen Gesetze streng geregelt. Dennoch gelang es den Bedrohungsakteuren, die Aktivitäten der Opfer auf ihren Computern zu überwachen und sogar Abhörmaßnahmen durchzuführen.

Es wurde beobachtet, dass CHM-Dateien von anderen mit Nordkorea verbundenen Gruppen, darunter Kimsuky, verwendet werden. SentinelOne hat kürzlich eine Kampagne bekannt gegeben, in der das Dateiformat zur Bereitstellung eines Aufklärungstools namens RandomQuery verwendet wurde.

Bei den neuesten von ASEC identifizierten Angriffen sind die CHM-Dateien so konfiguriert, dass sie eine BAT-Datei ablegen, die anschließend zum Herunterladen von Malware weiterer Stufen und zum Herausfiltern von Benutzerinformationen von kompromittierten Hosts verwendet wird.

Spear-Phishing, seit über einem Jahrzehnt die bevorzugte Erstzugriffsmethode von Kimsuky, erfordert in der Regel umfangreiche Recherchen und sorgfältige Vorbereitung, wie in Hinweisen von US-amerikanischen und südkoreanischen Geheimdiensten hervorgehoben.

Diese Erkenntnisse sind eine Folge der Ausnutzung von Sicherheitslücken in weit verbreiteter südkoreanischer Software, darunter INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream und VestCert, durch die Lazarus Group im Rahmen ihrer aktiven Kampagne zur Infiltration von Unternehmen und zur Bereitstellung von Malware.