„FadeStealer“ dirba „ScarCruft APT“.

Neseniai buvo pastebėta, kad Šiaurės Korėjos grėsmių grupė „ScarCruft“ naudoja iki tol neskelbtą informaciją vagiančią kenkėjišką programą, kuri apima pokalbių pasiklausymo galimybes. Be to, jie sukūrė užpakalines duris naudodami „Golang“, išnaudodami „Ably“ realiojo laiko pranešimų paslaugą.

„AhnLab“ saugumo pagalbos reagavimo centro (ASEC) techninėje ataskaitoje teigiama, kad grėsmės veikėjas pasitelkė „Ably“ paslaugą, kad perduotų savo komandas per Golango užpakalines duris. Nustatyta, kad reikalingas API raktas komandų ryšiui yra saugomas „GitHub“ saugykloje.

Manoma, kad „ScarCruft“ yra susijęs su Šiaurės Korėjos Valstybės saugumo ministerija (MSS) ir veikia kaip valstybės remiamas subjektas, veikia mažiausiai nuo 2012 m.

Jų atakų metodika paprastai apima sukčiavimo kampanijas, skirtas RokRAT kenkėjiškoms programoms pristatyti, nors jie taip pat naudojo įvairius pritaikytus įrankius jautriai informacijai rinkti.

Kenkėjiška programa pateikta Microsoft žinyno faile

Naujausio ASEC aptikto incidento metu kenkėjiškame el. laiške buvo Microsoft Compiled HTML Help (.CHM) failas. Ši technika, apie kurią iš pradžių pranešta 2023 m. kovo mėn., spustelėjus suaktyvina ryšį su nuotoliniu serveriu, todėl atsisiunčiama PowerShell kenkėjiška programa, vadinama Chinotto.

Chinotto, be patvarumo nustatymo ir papildomų naudingų krovinių gavimo, pristato užpakalines duris, žinomą kaip AblyGo (Kaspersky taip pat vadina SidLevel), kuri komandų ir valdymo tikslais naudoja Ably API paslaugą.

Be to, „AblyGo“ yra kanalas, skirtas paleisti „FadeStealer“ – informaciją vagiančią kenkėjišką programą, aprūpintą tokiomis funkcijomis kaip ekrano kopijų fiksavimas, duomenų rinkimas iš keičiamos laikmenos ir išmaniųjų telefonų, klavišų paspaudimų registravimas ir garso įrašymas iš mikrofonų.

ASEC pareiškė, kad „RedEyes“ grupė, kuriai priklauso „ScarCruft“, konkrečiai nusitaikė į tokius asmenis kaip Šiaurės Korėjos perbėgėliai, žmogaus teisių aktyvistai ir universitetų profesoriai, kurių pagrindinis tikslas yra pavogti vertingą informaciją.

Neteisėtas asmenų pasiklausymas Pietų Korėjoje laikomas privatumo pažeidimu ir yra griežtai reglamentuojamas atitinkamais įstatymais. Nepaisant to, grėsmių veikėjai sugebėjo stebėti aukų veiklą savo kompiuteriuose ir netgi pasiklausė pokalbių.

Pastebėta, kad CHM failus naudoja kitos su Šiaurės Korėja susijusios grupės, įskaitant Kimsuky. SentinelOne neseniai atskleidė kampaniją, kurioje failo formatas buvo naudojamas siekiant pateikti žvalgybos įrankį, pavadintą RandomQuery.

Naujausiame ASEC nustatytų atakų rinkinyje CHM failai sukonfigūruoti taip, kad būtų pašalintas BAT failas, kuris vėliau naudojamas norint atsisiųsti tolesnio etapo kenkėjiškas programas ir išfiltruoti vartotojo informaciją iš pažeistų prieglobų.

Kaip pabrėžta JAV ir Pietų Korėjos žvalgybos agentūrų patarimuose, sukčiavimas su ietis, kuris buvo pirmenybė Kimsuky pirminės prieigos metodu daugiau nei dešimtmetį, paprastai apima išsamius tyrimus ir kruopštų pasiruošimą.

Šios išvados atsirado po to, kai „Lazarus Group“ išnaudojo plačiai naudojamos Pietų Korėjos programinės įrangos, įskaitant INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream ir VestCert, saugumo spragas, kurios yra aktyvios kampanijos, skirtos įsiskverbti į įmones ir įdiegti kenkėjiškas programas, dalis.