FadeStealer Employed by ScarCruft APT

Η βορειοκορεατική ομάδα απειλών ScarCruft παρατηρήθηκε πρόσφατα να χρησιμοποιεί ένα κακόβουλο λογισμικό κλοπής πληροφοριών που δεν είχε αποκαλυφθεί στο παρελθόν, το οποίο περιλαμβάνει δυνατότητες υποκλοπής. Επιπλέον, έχουν αναπτύξει μια κερκόπορτα χρησιμοποιώντας Golang, εκμεταλλευόμενη την υπηρεσία ανταλλαγής μηνυμάτων σε πραγματικό χρόνο Ably.

Μια τεχνική έκθεση από το AhnLab Security Emergency Response Center (ASEC) ανέφερε ότι ο παράγοντας της απειλής χρησιμοποίησε την υπηρεσία Ably για να μεταδώσει τις εντολές τους μέσω της κερκόπορτας Golang. Το απαραίτητο κλειδί API για την επικοινωνία εντολών ανακαλύφθηκε ότι είναι αποθηκευμένο σε ένα αποθετήριο GitHub.

Η ScarCruft, που πιστεύεται ότι συνδέεται με το Υπουργείο Κρατικής Ασφάλειας (MSS) της Βόρειας Κορέας και λειτουργεί ως κρατική οντότητα, δραστηριοποιείται τουλάχιστον από το 2012.

Η μεθοδολογία επιθέσεών τους συνήθως περιλαμβάνει εκστρατείες spear-phishing για την παράδοση του κακόβουλου λογισμικού RokRAT, αν και έχουν επίσης χρησιμοποιήσει διάφορα προσαρμοσμένα εργαλεία για τη συλλογή ευαίσθητων πληροφοριών.

Κακόβουλο λογισμικό που παραδίδεται στο αρχείο βοήθειας της Microsoft

Στο πιο πρόσφατο περιστατικό που εντοπίστηκε από την ASEC, το κακόβουλο email περιείχε ένα αρχείο Microsoft Compiled HTML Help (.CHM). Αυτή η τεχνική, που αναφέρθηκε αρχικά τον Μάρτιο του 2023, ενεργοποιεί την επαφή με έναν απομακρυσμένο διακομιστή με το κλικ, οδηγώντας στη λήψη ενός κακόβουλου λογισμικού PowerShell που ονομάζεται Chinotto.

Η Chinotto, εκτός από τη δημιουργία επιμονής και την ανάκτηση πρόσθετων ωφέλιμων φορτίων, εισάγει μια κερκόπορτα γνωστή ως AblyGo (αναφέρεται επίσης ως SidLevel από την Kaspersky), η οποία εκμεταλλεύεται την υπηρεσία Ably API για σκοπούς εντολής και ελέγχου.

Επιπλέον, το AblyGo χρησιμεύει ως αγωγός για την εκτέλεση του FadeStealer, ενός κακόβουλου λογισμικού που κλέβει πληροφορίες εξοπλισμένο με λειτουργίες όπως λήψη στιγμιότυπων οθόνης, συλλογή δεδομένων από αφαιρούμενα μέσα και smartphone, καταγραφή πατημάτων πλήκτρων και εγγραφή ήχου από μικρόφωνα.

Η ASEC δήλωσε ότι η ομάδα RedEyes, στην οποία ανήκει η ScarCruft, στοχεύει συγκεκριμένα άτομα όπως Βορειοκορεάτες αποστάτες, ακτιβιστές ανθρωπίνων δικαιωμάτων και καθηγητές πανεπιστημίου, με πρωταρχικό στόχο την κλοπή πολύτιμων πληροφοριών.

Η μη εξουσιοδοτημένη υποκλοπή ατόμων εντός της Νότιας Κορέας θεωρείται παραβίαση του απορρήτου και ρυθμίζεται αυστηρά από τους σχετικούς νόμους. Παρ' όλα αυτά, οι παράγοντες της απειλής κατάφεραν να παρακολουθούν τις δραστηριότητες των θυμάτων στους υπολογιστές τους και μάλιστα πραγματοποίησαν υποκλοπές.

Τα αρχεία CHM έχουν παρατηρηθεί να χρησιμοποιούνται από άλλες ομάδες που συνδέονται με τη Βόρεια Κορέα, συμπεριλαμβανομένου του Kimsuky. Το SentinelOne αποκάλυψε πρόσφατα μια καμπάνια στην οποία χρησιμοποιήθηκε η μορφή αρχείου για την παράδοση ενός εργαλείου αναγνώρισης που ονομάζεται RandomQuery.

Στο πιο πρόσφατο σύνολο επιθέσεων που εντοπίστηκαν από το ASEC, τα αρχεία CHM έχουν ρυθμιστεί ώστε να απορρίπτουν ένα αρχείο BAT, το οποίο στη συνέχεια χρησιμοποιείται για τη λήψη περαιτέρω σταδίου κακόβουλου λογισμικού και την εξαγωγή πληροφοριών χρήστη από παραβιασμένους κεντρικούς υπολογιστές.

Το Spear-phishing, το οποίο είναι η προτιμώμενη τεχνική αρχικής πρόσβασης του Kimsuky για πάνω από μια δεκαετία, συνήθως περιλαμβάνει εκτεταμένη έρευνα και σχολαστική προετοιμασία, όπως τονίζεται σε συμβουλές από υπηρεσίες πληροφοριών των ΗΠΑ και της Νότιας Κορέας.

Αυτά τα ευρήματα έρχονται στον απόηχο της εκμετάλλευσης των τρωτών σημείων ασφαλείας από τον Όμιλο Lazarus σε ευρέως χρησιμοποιούμενο λογισμικό της Νότιας Κορέας, συμπεριλαμβανομένων των INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream και VestCert, ως μέρος της ενεργού εκστρατείας τους για διείσδυση σε εταιρείες και ανάπτυξη κακόβουλου λογισμικού.