FadeStealer employé par ScarCruft APT

Le groupe de menaces nord-coréen ScarCruft a récemment été observé en train d'utiliser un logiciel malveillant de vol d'informations jusqu'alors non divulgué qui inclut des capacités d'écoute électronique. De plus, ils ont développé une porte dérobée utilisant Golang, exploitant le service de messagerie en temps réel Ably.

Un rapport technique du AhnLab Security Emergency Response Center (ASEC) a déclaré que l'auteur de la menace utilisait le service Ably pour transmettre ses commandes via la porte dérobée Golang. La clé API nécessaire à la communication des commandes a été découverte comme étant stockée dans un référentiel GitHub.

ScarCruft, censé être affilié au ministère nord-coréen de la Sécurité d'État (MSS) et fonctionnant comme une entité parrainée par l'État, est actif depuis au moins 2012.

Leur méthodologie d'attaque implique généralement des campagnes de harponnage pour diffuser le logiciel malveillant RokRAT, bien qu'ils aient également utilisé divers outils personnalisés pour collecter des informations sensibles.

Logiciels malveillants livrés dans le fichier d'aide de Microsoft

Lors de l'incident le plus récent détecté par l'ASEC, l'e-mail malveillant contenait un fichier Microsoft Compiled HTML Help (.CHM). Cette technique, initialement signalée en mars 2023, déclenche un contact avec un serveur distant lors d'un clic, entraînant le téléchargement d'un malware PowerShell appelé Chinotto.

Chinotto, en plus d'établir la persistance et de récupérer des charges utiles supplémentaires, introduit une porte dérobée connue sous le nom d'AblyGo (également appelée SidLevel par Kaspersky), qui exploite le service Ably API à des fins de commande et de contrôle.

De plus, AblyGo sert de conduit pour l'exécution de FadeStealer, un logiciel malveillant voleur d'informations équipé de fonctionnalités telles que la capture de captures d'écran, la collecte de données à partir de supports amovibles et de smartphones, la journalisation des frappes au clavier et l'enregistrement audio à partir de microphones.

L'ASEC a déclaré que le groupe RedEyes, auquel appartient ScarCruft, cible spécifiquement des individus tels que les transfuges nord-coréens, les militants des droits de l'homme et les professeurs d'université, dans le but principal de voler des informations précieuses.

L'écoute clandestine non autorisée d'individus en Corée du Sud est considérée comme une violation de la vie privée et est strictement réglementée par les lois applicables. Néanmoins, les acteurs de la menace ont réussi à surveiller les activités des victimes sur leurs ordinateurs et ont même procédé à des écoutes téléphoniques.

Des fichiers CHM ont été observés utilisés par d'autres groupes affiliés à la Corée du Nord, y compris Kimsuky. SentinelOne a récemment dévoilé une campagne dans laquelle le format de fichier a été utilisé pour fournir un outil de reconnaissance nommé RandomQuery.

Dans la dernière série d'attaques identifiées par l'ASEC, les fichiers CHM sont configurés pour déposer un fichier BAT, qui est ensuite utilisé pour télécharger des logiciels malveillants à un stade ultérieur et exfiltrer les informations utilisateur des hôtes compromis.

Le harponnage, qui est la technique d'accès initiale préférée de Kimsuky depuis plus d'une décennie, implique généralement des recherches approfondies et une préparation méticuleuse, comme le soulignent les avis des agences de renseignement américaines et sud-coréennes.

Ces découvertes font suite à l'exploitation par le groupe Lazarus des vulnérabilités de sécurité dans les logiciels sud-coréens largement utilisés, notamment INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream et VestCert, dans le cadre de leur campagne active pour infiltrer les entreprises et déployer des logiciels malveillants.