ScarCruft APT が採用する FadeStealer

北朝鮮の脅威グループ ScarCruft が、これまで未公開だった盗聴機能を含む情報窃取マルウェアを利用していることが最近観察されました。さらに、彼らは Golang を使用してバックドアを開発し、Ably リアルタイム メッセージング サービスを悪用しました。

AhnLab Security Emergency Response Center (ASEC) の技術レポートには、攻撃者が Ably サービスを利用して Golang バックドア経由でコマンドを送信したと記載されています。コマンド通信に必要なAPIキーがGitHubリポジトリに保存されていることが判明しました。

ScarCruftは北朝鮮国家保衛部（MSS）と提携し、国家支援団体として活動しているとみられ、少なくとも2012年から活動を続けている。

彼らの攻撃手法には通常、RokRAT マルウェアを配信するスピア フィッシング キャンペーンが含まれていますが、機密情報を収集するためにさまざまなカスタマイズされたツールも利用しています。

Microsoft ヘルプ ファイルで配信されるマルウェア

ASEC によって検出された最新のインシデントでは、悪意のある電子メールには Microsoft Compiled HTML Help (.CHM) ファイルが含まれていました。 2023 年 3 月に最初に報告されたこの手法は、クリックするとリモート サーバーとの接続をトリガーし、Chinotto と呼ばれる PowerShell マルウェアのダウンロードにつながります。

Chinotto は、永続性の確立と追加のペイロードの取得に加えて、AblyGo (Kaspersky では SidLevel とも呼ばれる) として知られるバックドアを導入しています。これは、コマンド アンド コントロールの目的で Ably API サービスを悪用します。

さらに、AblyGo は、スクリーンショットのキャプチャ、リムーバブル メディアやスマートフォンからのデータ収集、キーストロークの記録、マイクからの音声の録音などの機能を備えた情報窃取マルウェアである FadeStealer を実行するための経路として機能します。

ASECは、ScarCruftが所属するRedEyesグループは、貴重な情報を盗むことを主な目的として、脱北者、人権活動家、大学教授などの個人を特に標的にしていると述べた。

韓国国内での個人に対する許可のない盗聴はプライバシーの侵害とみなされ、関連法によって厳しく規制されています。それにもかかわらず、攻撃者は被害者のコンピュータ上での活動を監視し、さらには盗聴を実行することに成功しました。

CHM ファイルは、キムスキーを含む他の北朝鮮関連グループによって使用されていることが観察されています。 SentinelOne は最近、RandomQuery という名前の偵察ツールを配信するためにこのファイル形式が使用されたキャンペーンを明らかにしました。

ASEC によって特定された最新の一連の攻撃では、CHM ファイルは BAT ファイルをドロップするように構成されており、その後、このファイルは次の段階のマルウェアをダウンロードし、侵害されたホストからユーザー情報を抜き出すために使用されます。

米国と韓国の諜報機関からの勧告で強調されているように、キムスキーが 10 年以上にわたって好んで使用してきた初期アクセス手法であるスピア フィッシングには、通常、広範な調査と綿密な準備が必要です。

これらの発見は、企業に侵入してマルウェアを展開する積極的なキャンペーンの一環として、Lazarus Group が INISAFE CrossWeb EX、MagicLine4NX、TCO!Stream、VestCert などの広く使用されている韓国のソフトウェアのセキュリティ脆弱性を悪用したことを受けて発表されました。