FadeStealer Impiegato da ScarCruft APT

Il gruppo di minacce nordcoreano ScarCruft è stato recentemente osservato utilizzare un malware per il furto di informazioni precedentemente non divulgato che include funzionalità di intercettazione. Inoltre, hanno sviluppato una backdoor utilizzando Golang, sfruttando il servizio di messaggistica in tempo reale Ably.

Un rapporto tecnico dell'AhnLab Security Emergency Response Center (ASEC) ha affermato che l'autore della minaccia ha utilizzato il servizio Ably per trasmettere i propri comandi attraverso la backdoor di Golang. È stato scoperto che la chiave API necessaria per la comunicazione dei comandi è archiviata in un repository GitHub.

ScarCruft, che si ritiene sia affiliato al Ministero della Sicurezza di Stato (MSS) della Corea del Nord e che operi come entità sponsorizzata dallo stato, è attivo almeno dal 2012.

La loro metodologia di attacco prevede in genere campagne di spear-phishing per fornire il malware RokRAT, sebbene abbiano anche utilizzato vari strumenti personalizzati per raccogliere informazioni sensibili.

Malware fornito nel file della Guida di Microsoft

Nell'incidente più recente rilevato da ASEC, l'e-mail dannosa conteneva un file Microsoft Compiled HTML Help (.CHM). Questa tecnica, inizialmente segnalata nel marzo 2023, attiva il contatto con un server remoto al clic, portando al download di un malware PowerShell chiamato Chinotto.

Chinotto, oltre a stabilire la persistenza e recuperare payload aggiuntivi, introduce una backdoor nota come AblyGo (chiamata anche SidLevel da Kaspersky), che sfrutta il servizio Ably API per scopi di comando e controllo.

Inoltre, AblyGo funge da canale per l'esecuzione di FadeStealer, un malware che ruba informazioni dotato di funzionalità come l'acquisizione di schermate, la raccolta di dati da supporti rimovibili e smartphone, la registrazione di sequenze di tasti e la registrazione di audio da microfoni.

L'ASEC ha affermato che il gruppo RedEyes, a cui appartiene ScarCruft, prende di mira specificamente individui come disertori nordcoreani, attivisti per i diritti umani e professori universitari, con l'obiettivo principale di rubare informazioni preziose.

L'intercettazione non autorizzata di individui all'interno della Corea del Sud è considerata una violazione della privacy ed è strettamente regolamentata dalle leggi pertinenti. Ciononostante, gli autori delle minacce sono riusciti a monitorare le attività delle vittime sui loro computer e persino a effettuare intercettazioni telefoniche.

È stato osservato che i file CHM sono stati utilizzati da altri gruppi affiliati alla Corea del Nord, incluso Kimsuky. SentinelOne ha recentemente rivelato una campagna in cui il formato del file è stato utilizzato per fornire uno strumento di ricognizione chiamato RandomQuery.

Nell'ultima serie di attacchi identificati da ASEC, i file CHM sono configurati per rilasciare un file BAT, che viene successivamente utilizzato per scaricare malware in fasi successive ed esfiltrare le informazioni degli utenti dagli host compromessi.

Lo spear-phishing, che è stata la tecnica di accesso iniziale preferita di Kimsuky per oltre un decennio, in genere comporta ricerche approfondite e una preparazione meticolosa, come evidenziato negli avvisi delle agenzie di intelligence statunitensi e sudcoreane.

Questi risultati arrivano sulla scia dello sfruttamento da parte del Gruppo Lazarus delle vulnerabilità di sicurezza nei software sudcoreani ampiamente utilizzati, tra cui INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream e VestCert, come parte della loro campagna attiva per infiltrarsi nelle aziende e distribuire malware.