FadeStealer In dienst van ScarCruft APT

Onlangs is waargenomen dat de Noord-Koreaanse dreigingsgroep ScarCruft een niet eerder bekendgemaakte malware voor het stelen van informatie gebruikt, inclusief afluistermogelijkheden. Bovendien hebben ze een achterdeur ontwikkeld met behulp van Golang, gebruikmakend van de real-time berichtenservice van Ably.

Een technisch rapport van het AhnLab Security Emergency Response Center (ASEC) stelde dat de dreigingsactor de Ably-service gebruikte om hun commando's door te geven via de Golang-achterdeur. Er is ontdekt dat de benodigde API-sleutel voor opdrachtcommunicatie is opgeslagen in een GitHub-repository.

ScarCruft, vermoedelijk gelieerd aan het Noord-Koreaanse ministerie van Staatsveiligheid (MSS) en opererend als een door de staat gesponsorde entiteit, is actief sinds ten minste 2012.

Hun aanvalsmethodologie omvat meestal spear-phishing-campagnes om de RokRAT-malware te leveren, hoewel ze ook verschillende aangepaste tools hebben gebruikt om gevoelige informatie te verzamelen.

Malware geleverd in Microsoft Help-bestand

Bij het meest recente incident dat door ASEC werd gedetecteerd, bevatte de kwaadaardige e-mail een Microsoft Compiled HTML Help-bestand (.CHM). Deze techniek, voor het eerst gerapporteerd in maart 2023, activeert contact met een externe server wanneer erop wordt geklikt, wat leidt tot het downloaden van een PowerShell-malware genaamd Chinotto.

Chinotto introduceert niet alleen persistentie en het ophalen van extra payloads, maar introduceert ook een achterdeur die bekend staat als AblyGo (ook wel SidLevel genoemd door Kaspersky), die de Ably API-service exploiteert voor command-and-control-doeleinden.

Bovendien dient AblyGo als kanaal voor het uitvoeren van FadeStealer, een informatiestelende malware uitgerust met functies zoals het maken van schermafbeeldingen, het verzamelen van gegevens van verwisselbare media en smartphones, het loggen van toetsaanslagen en het opnemen van audio van microfoons.

ASEC verklaarde dat de RedEyes-groep, waartoe ScarCruft behoort, zich specifiek richt op individuen zoals Noord-Koreaanse overlopers, mensenrechtenactivisten en universiteitsprofessoren, met als primair doel waardevolle informatie te stelen.

Ongeoorloofd afluisteren van personen in Zuid-Korea wordt beschouwd als een schending van de privacy en is strikt gereguleerd onder de relevante wetten. Desalniettemin slaagden de dreigingsactoren erin de activiteiten van de slachtoffers op hun computers te volgen en zelfs af te luisteren.

Er is waargenomen dat CHM-bestanden worden gebruikt door andere aan Noord-Korea gelieerde groepen, waaronder Kimsuky. SentinelOne heeft onlangs een campagne onthuld waarin het bestandsformaat werd gebruikt om een verkenningstool met de naam RandomQuery te leveren.

In de nieuwste reeks aanvallen die door ASEC zijn geïdentificeerd, zijn de CHM-bestanden geconfigureerd om een BAT-bestand te laten vallen, dat vervolgens wordt gebruikt om malware van een hoger stadium te downloaden en gebruikersinformatie van gecompromitteerde hosts te exfiltreren.

Spear-phishing, al meer dan tien jaar de geprefereerde initiële toegangstechniek van Kimsuky, omvat doorgaans uitgebreid onderzoek en nauwgezette voorbereiding, zoals benadrukt in adviezen van Amerikaanse en Zuid-Koreaanse inlichtingendiensten.

Deze bevindingen volgen op het misbruik door de Lazarus Group van beveiligingsproblemen in veelgebruikte Zuid-Koreaanse software, waaronder INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream en VestCert, als onderdeel van hun actieve campagne om bedrijven te infiltreren en malware te implementeren.