FadeStealer A ScarCruft APT alkalmazottja

A közelmúltban megfigyelték a ScarCruft észak-koreai fenyegetettségi csoportot, amely egy korábban nyilvánosságra nem hozott információlopó rosszindulatú programot használ, amely lehallgatási lehetőségeket is tartalmaz. Ezenkívül kifejlesztettek egy hátsó ajtót a Golang segítségével, kihasználva az Ably valós idejű üzenetküldő szolgáltatást.

Az AhnLab Security Emergency Response Center (ASEC) technikai jelentése szerint a fenyegetettség szereplője az Ably szolgáltatást alkalmazta, hogy parancsait a Golang hátsó ajtón keresztül továbbítsa. A parancskommunikációhoz szükséges API-kulcsot egy GitHub-tárolóban tárolták.

A ScarCruft, amelyről feltételezik, hogy kapcsolatban áll Észak-Korea Állambiztonsági Minisztériumával (MSS), és államilag támogatott szervezetként működik, legalább 2012 óta működik.

Támadási módszereik jellemzően adathalász kampányokat foglalnak magukban a RokRAT rosszindulatú program továbbítására, bár különféle testreszabott eszközöket is alkalmaztak érzékeny információk gyűjtésére.

Rosszindulatú program a Microsoft súgófájljában

Az ASEC által észlelt legutóbbi incidens során a rosszindulatú e-mail egy Microsoft Compiled HTML Help (.CHM) fájlt tartalmazott. Ez a technika, amelyet eredetileg 2023 márciusában jelentettek be, kattintáskor kapcsolatba lép a távoli szerverrel, ami a Chinotto nevű PowerShell rosszindulatú program letöltéséhez vezet.

A Chinotto a tartósság megteremtése és a további hasznos terhelések lekérése mellett bevezeti az AblyGo néven ismert hátsó ajtót (a Kaspersky SidLevel-ként is emlegeti), amely az Ably API szolgáltatást használja ki parancs- és vezérlési célokra.

Ezenkívül az AblyGo csatornaként szolgál a FadeStealer, egy információlopó rosszindulatú program végrehajtásához, amely olyan funkciókkal rendelkezik, mint például képernyőképek rögzítése, adatok gyűjtése cserélhető adathordozóról és okostelefonokról, billentyűleütések naplózása és hangfelvétel mikrofonokról.

Az ASEC kijelentette, hogy a RedEyes csoport, amelyhez a ScarCruft is tartozik, kifejezetten olyan személyeket céloz meg, mint az észak-koreai disszidálók, emberi jogi aktivisták és egyetemi oktatók, azzal a céllal, hogy értékes információkat lopjanak el.

Az egyének jogosulatlan lehallgatása Dél-Koreában a magánélet megsértésének minősül, és a vonatkozó törvények szigorúan szabályozzák. Ennek ellenére a fenyegetés szereplőinek sikerült figyelemmel kísérniük az áldozatok tevékenységét a számítógépükön, és még lehallgatást is végeztek.

Megfigyelték, hogy a CHM-fájlokat más észak-koreai kötődésű csoportok, köztük a Kimsuky is használják. A SentinelOne nemrégiben nyilvánosságra hozott egy kampányt, amelyben a fájlformátumot a RandomQuery nevű felderítő eszköz szállítására használták.

Az ASEC által azonosított legújabb támadások során a CHM-fájlok úgy vannak konfigurálva, hogy eldobjanak egy BAT-fájlt, amelyet ezt követően a rosszindulatú programok további szakaszának letöltésére és a felhasználói információk kiszűrésére használnak a feltört gazdagépekről.

A lándzsás adathalászat, amely a Kimsuky által kedvelt kezdeti hozzáférési technika több mint egy évtizede, jellemzően kiterjedt kutatást és alapos felkészülést foglal magában, amint azt az amerikai és dél-koreai hírszerző ügynökségek tanácsai is kiemelik.

Ezek az eredmények a Lazarus Group által a széles körben használt dél-koreai szoftverek – köztük az INISAFE CrossWeb EX, a MagicLine4NX, a TCO!Stream és a VestCert – biztonsági réseinek kihasználása nyomán születtek, a vállalatokba való beszivárgás és a rosszindulatú programok telepítése érdekében folytatott aktív kampányuk részeként.