FadeStealer Zatrudniony przez ScarCruft APT

Niedawno zaobserwowano, że północnokoreańska grupa ScarCruft wykorzystuje nieujawnione wcześniej złośliwe oprogramowanie do kradzieży informacji, które obejmuje możliwości podsłuchiwania. Ponadto opracowali backdoora za pomocą Golang, wykorzystując usługę przesyłania wiadomości w czasie rzeczywistym Ably.

Raport techniczny z AhnLab Security Emergency Response Center (ASEC) stwierdził, że ugrupowanie cyberprzestępcze wykorzystało usługę Ably do przesyłania swoich poleceń przez backdoora Golang. Wykryto, że klucz API niezbędny do komunikacji poleceń jest przechowywany w repozytorium GitHub.

ScarCruft, prawdopodobnie powiązany z Ministerstwem Bezpieczeństwa Państwowego Korei Północnej (MSS) i działający jako podmiot sponsorowany przez państwo, działa od co najmniej 2012 roku.

Ich metodologia ataków zazwyczaj obejmuje kampanie typu spear phishing w celu dostarczenia złośliwego oprogramowania RokRAT, chociaż wykorzystywali również różne niestandardowe narzędzia do zbierania poufnych informacji.

Złośliwe oprogramowanie dostarczane w pliku pomocy firmy Microsoft

W ostatnim incydencie wykrytym przez ASEC szkodliwa wiadomość e-mail zawierała plik Microsoft Compiled HTML Help (.CHM). Technika ta, po raz pierwszy zgłoszona w marcu 2023 r., po kliknięciu wyzwala kontakt ze zdalnym serwerem, co prowadzi do pobrania złośliwego oprogramowania PowerShell o nazwie Chinotto.

Chinotto, oprócz ustanawiania trwałości i pobierania dodatkowych ładunków, wprowadza backdoora znanego jako AblyGo (określanego również jako SidLevel przez firmę Kaspersky), który wykorzystuje usługę Ably API do celów dowodzenia i kontroli.

Ponadto AblyGo służy jako kanał do uruchamiania FadeStealer, złośliwego oprogramowania kradnącego informacje, wyposażonego w takie funkcje, jak przechwytywanie zrzutów ekranu, zbieranie danych z nośników wymiennych i smartfonów, rejestrowanie naciśnięć klawiszy i nagrywanie dźwięku z mikrofonów.

ASEC stwierdził, że grupa RedEyes, do której należy ScarCruft, atakuje w szczególności osoby, takie jak uciekinierzy z Korei Północnej, działacze na rzecz praw człowieka i profesorowie uniwersyteccy, a głównym celem jest kradzież cennych informacji.

Nieautoryzowane podsłuchiwanie osób w Korei Południowej jest uważane za naruszenie prywatności i jest ściśle regulowane przez odpowiednie przepisy. Niemniej jednak cyberprzestępcom udało się monitorować działania ofiar na ich komputerach, a nawet przeprowadzać podsłuchy.

Zaobserwowano, że pliki CHM są używane przez inne grupy powiązane z Koreą Północną, w tym Kimsuky. SentinelOne niedawno ujawnił kampanię, w której format pliku został wykorzystany do dostarczenia narzędzia rozpoznawczego o nazwie RandomQuery.

W najnowszym zestawie ataków zidentyfikowanych przez ASEC pliki CHM są konfigurowane w taki sposób, aby pozostawiały plik BAT, który jest następnie wykorzystywany do pobierania złośliwego oprogramowania na dalszym etapie i eksfiltracji informacji o użytkownikach z zaatakowanych hostów.

Spear-phishing, który od ponad dekady jest preferowaną techniką wstępnego dostępu Kimsuky'ego, zwykle obejmuje szeroko zakrojone badania i skrupulatne przygotowania, jak podkreślono w poradnikach amerykańskich i południowokoreańskich agencji wywiadowczych.

Odkrycia te pojawiają się w następstwie wykorzystywania przez Grupę Lazarus luk w zabezpieczeniach szeroko stosowanego południowokoreańskiego oprogramowania, w tym INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream i VestCert, w ramach ich aktywnej kampanii mającej na celu infiltrację firm i wdrażanie złośliwego oprogramowania.