FadeStealer Empregado por ScarCruft APT

O grupo de ameaças norte-coreano ScarCruft foi recentemente observado utilizando um malware de roubo de informações não divulgado anteriormente que inclui recursos de escuta telefônica. Além disso, eles desenvolveram um backdoor usando Golang, explorando o serviço de mensagens em tempo real Ably.

Um relatório técnico do AhnLab Security Emergency Response Center (ASEC) afirmou que o agente da ameaça empregou o serviço Ably para transmitir seus comandos através do backdoor Golang. Descobriu-se que a chave de API necessária para comunicação de comandos estava armazenada em um repositório GitHub.

A ScarCruft, supostamente afiliada ao Ministério de Segurança do Estado (MSS) da Coreia do Norte e operando como uma entidade patrocinada pelo Estado, está ativa desde pelo menos 2012.

Sua metodologia de ataque normalmente envolve campanhas de spear phishing para entregar o malware RokRAT, embora eles também tenham utilizado várias ferramentas personalizadas para coletar informações confidenciais.

Malware fornecido no arquivo de ajuda da Microsoft

No incidente mais recente detectado pela ASEC, o e-mail malicioso continha um arquivo Microsoft Compiled HTML Help (.CHM). Essa técnica, relatada inicialmente em março de 2023, aciona o contato com um servidor remoto ao clicar, levando ao download de um malware PowerShell chamado Chinotto.

Chinotto, além de estabelecer persistência e recuperar cargas adicionais, apresenta um backdoor conhecido como AblyGo (também conhecido como SidLevel pela Kaspersky), que explora o serviço Ably API para fins de comando e controle.

Além disso, o AblyGo serve como um canal para a execução do FadeStealer, um malware para roubo de informações equipado com recursos como captura de tela, coleta de dados de mídias removíveis e smartphones, registro de teclas digitadas e gravação de áudio de microfones.

A ASEC afirmou que o grupo RedEyes, ao qual ScarCruft pertence, visa especificamente indivíduos como desertores norte-coreanos, ativistas de direitos humanos e professores universitários, com o objetivo principal de roubar informações valiosas.

A escuta não autorizada de indivíduos na Coreia do Sul é considerada uma violação da privacidade e é estritamente regulamentada pelas leis relevantes. No entanto, os invasores conseguiram monitorar as atividades das vítimas em seus computadores e até mesmo realizar escutas telefônicas.

Arquivos CHM foram observados sendo usados por outros grupos afiliados à Coreia do Norte, incluindo Kimsuky. O SentinelOne divulgou recentemente uma campanha na qual o formato de arquivo foi empregado para fornecer uma ferramenta de reconhecimento chamada RandomQuery.

No último conjunto de ataques identificados pela ASEC, os arquivos CHM são configurados para descartar um arquivo BAT, que é posteriormente usado para baixar malware em estágio avançado e exfiltrar informações do usuário de hosts comprometidos.

Spear-phishing, que tem sido a técnica de acesso inicial preferida de Kimsuky por mais de uma década, geralmente envolve extensa pesquisa e preparação meticulosa, conforme destacado em alertas de agências de inteligência dos EUA e da Coréia do Sul.

Essas descobertas vêm na esteira da exploração de vulnerabilidades de segurança do Grupo Lazarus em software sul-coreano amplamente utilizado, incluindo INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream e VestCert, como parte de sua campanha ativa para se infiltrar em empresas e implantar malware.