FadeStealer ansatt av ScarCruft APT

Den nordkoreanske trusselgruppen ScarCruft har nylig blitt observert ved å bruke en tidligere ikke avslørt informasjonsstjeling av skadelig programvare som inkluderer avlyttingsmuligheter. I tillegg har de utviklet en bakdør ved hjelp av Golang, og utnytter Ably-sanntidsmeldingstjenesten.

En teknisk rapport fra AhnLab Security Emergency Response Center (ASEC) uttalte at trusselaktøren benyttet Ably-tjenesten for å overføre kommandoene sine gjennom Golang-bakdøren. Den nødvendige API-nøkkelen for kommandokommunikasjon ble oppdaget å være lagret i et GitHub-depot.

ScarCruft, som antas å være tilknyttet Nord-Koreas departement for statssikkerhet (MSS) og opererer som en statsstøttet enhet, har vært aktiv siden minst 2012.

Angrepsmetodikken deres involverer vanligvis spyd-phishing-kampanjer for å levere RokRAT-skadevare, selv om de også har brukt forskjellige tilpassede verktøy for å samle sensitiv informasjon.

Skadelig programvare levert i Microsoft hjelpefil

I den siste hendelsen som ble oppdaget av ASEC, inneholdt den ondsinnede e-posten en Microsoft Compiled HTML Help (.CHM)-fil. Denne teknikken, som opprinnelig ble rapportert i mars 2023, utløser kontakt med en ekstern server ved å klikke, noe som fører til nedlasting av en PowerShell-malware kalt Chinotto.

Chinotto, i tillegg til å etablere utholdenhet og hente ytterligere nyttelast, introduserer en bakdør kjent som AblyGo (også referert til som SidLevel av Kaspersky), som utnytter Ably API-tjenesten for kommando-og-kontrollformål.

Videre fungerer AblyGo som en kanal for å utføre FadeStealer, en informasjonsstjelende malware utstyrt med funksjoner som å ta skjermbilder, samle data fra flyttbare medier og smarttelefoner, logge tastetrykk og ta opp lyd fra mikrofoner.

ASEC uttalte at RedEyes-gruppen, som ScarCruft tilhører, spesifikt retter seg mot individer som nordkoreanske avhoppere, menneskerettighetsaktivister og universitetsprofessorer, med det primære målet å stjele verdifull informasjon.

Uautorisert avlytting av enkeltpersoner i Sør-Korea anses som et brudd på personvernet og er strengt regulert under relevante lover. Likevel klarte trusselaktørene å overvåke ofrenes aktiviteter på datamaskinene deres og til og med gjennomførte avlytting.

CHM-filer har blitt observert brukt av andre Nord-Korea-tilknyttede grupper, inkludert Kimsuky. SentinelOne avslørte nylig en kampanje der filformatet ble brukt for å levere et rekognoseringsverktøy kalt RandomQuery.

I det siste settet med angrep identifisert av ASEC, er CHM-filene konfigurert til å slippe en BAT-fil, som deretter brukes til å laste ned skadevare i flere stadier og eksfiltrere brukerinformasjon fra kompromitterte verter.

Spear-phishing, som har vært den foretrukne innledende tilgangsteknikken til Kimsuky i over et tiår, involverer vanligvis omfattende forskning og grundige forberedelser, som fremhevet i råd fra amerikanske og sørkoreanske etterretningsbyråer.

Disse funnene kommer i kjølvannet av Lazarus Groups utnyttelse av sikkerhetssårbarheter i mye brukt sørkoreansk programvare, inkludert INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream og VestCert, som en del av deres aktive kampanje for å infiltrere selskaper og distribuere skadelig programvare.