FadeStealer empleado por ScarCruft APT

Se ha observado recientemente que el grupo de amenazas de Corea del Norte, ScarCruft, utiliza un malware de robo de información no revelado anteriormente que incluye capacidades de escuchas telefónicas. Además, han desarrollado una puerta trasera usando Golang, explotando el servicio de mensajería en tiempo real de Ably.

Un informe técnico del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) indicó que el actor de amenazas empleó el servicio Ably para transmitir sus comandos a través de la puerta trasera de Golang. Se descubrió que la clave API necesaria para la comunicación de comandos estaba almacenada en un repositorio de GitHub.

ScarCruft, que se cree que está afiliada al Ministerio de Seguridad del Estado (MSS) de Corea del Norte y opera como una entidad patrocinada por el estado, ha estado activa desde al menos 2012.

Su metodología de ataque generalmente involucra campañas de phishing para entregar el malware RokRAT, aunque también han utilizado varias herramientas personalizadas para recopilar información confidencial.

Malware entregado en el archivo de ayuda de Microsoft

En el incidente más reciente detectado por ASEC, el correo electrónico malicioso contenía un archivo de ayuda HTML compilado de Microsoft (.CHM). Esta técnica, reportada inicialmente en marzo de 2023, activa el contacto con un servidor remoto al hacer clic, lo que lleva a la descarga de un malware de PowerShell llamado Chinotto.

Chinotto, además de establecer la persistencia y recuperar cargas útiles adicionales, presenta una puerta trasera conocida como AblyGo (también conocida como SidLevel por Kaspersky), que explota el servicio API de Ably con fines de comando y control.

Además, AblyGo sirve como conducto para ejecutar FadeStealer, un malware que roba información equipado con funciones como capturar capturas de pantalla, recopilar datos de medios extraíbles y teléfonos inteligentes, registrar pulsaciones de teclas y grabar audio de micrófonos.

ASEC declaró que el grupo RedEyes, al que pertenece ScarCruft, apunta específicamente a personas como desertores norcoreanos, activistas de derechos humanos y profesores universitarios, con el objetivo principal de robar información valiosa.

La escucha no autorizada de personas dentro de Corea del Sur se considera una violación de la privacidad y está estrictamente regulada por las leyes pertinentes. Sin embargo, los actores de amenazas lograron monitorear las actividades de las víctimas en sus computadoras e incluso realizaron escuchas telefónicas.

Se ha observado que los archivos CHM son utilizados por otros grupos afiliados a Corea del Norte, incluido Kimsuky. SentinelOne reveló recientemente una campaña en la que se empleó el formato de archivo para entregar una herramienta de reconocimiento llamada RandomQuery.

En el último conjunto de ataques identificado por ASEC, los archivos CHM están configurados para soltar un archivo BAT, que posteriormente se usa para descargar malware en etapas posteriores y filtrar la información del usuario de los hosts comprometidos.

La suplantación de identidad (spear-phishing), que ha sido la técnica de acceso inicial preferida de Kimsuky durante más de una década, generalmente implica una investigación exhaustiva y una preparación meticulosa, como se destaca en los avisos de las agencias de inteligencia de EE. UU. y Corea del Sur.

Estos hallazgos se producen a raíz de la explotación por parte de Lazarus Group de las vulnerabilidades de seguridad en software de Corea del Sur ampliamente utilizado, incluidos INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream y VestCert, como parte de su campaña activa para infiltrarse en empresas e implementar malware.