FadeStealer, нанятый ScarCruft APT

Недавно было замечено, что северокорейская группа угроз ScarCruft использует ранее неизвестное вредоносное ПО для кражи информации, которое включает в себя возможности прослушивания телефонных разговоров. Кроме того, они разработали бэкдор с использованием Golang, используя службу обмена сообщениями в реальном времени Ably.

В техническом отчете Центра экстренного реагирования AhnLab Security (ASEC) говорится, что злоумышленник использовал сервис Ably для передачи своих команд через бэкдор Golang. Обнаружено, что необходимый ключ API для обмена командами хранится в репозитории GitHub.

ScarCruft, предположительно связанная с Министерством государственной безопасности Северной Кореи (MSS) и действующая как спонсируемая государством организация, действует как минимум с 2012 года.

Их методология атаки обычно включает кампании целевого фишинга для доставки вредоносного ПО RokRAT, хотя они также использовали различные настраиваемые инструменты для сбора конфиденциальной информации.

Вредоносное ПО, доставленное в файл справки Microsoft

В последнем инциденте, обнаруженном ASEC, вредоносное электронное письмо содержало скомпилированный HTML-файл справки Microsoft (.CHM). Этот метод, о котором впервые сообщалось в марте 2023 года, запускает контакт с удаленным сервером при нажатии, что приводит к загрузке вредоносного ПО PowerShell под названием Chinotto.

Chinotto, в дополнение к установлению постоянства и извлечению дополнительных полезных данных, представляет бэкдор, известный как AblyGo (также называемый «Лабораторией Касперского» как SidLevel), который использует службу Ably API для управления и контроля.

Кроме того, AblyGo служит каналом для выполнения FadeStealer, вредоносного ПО для кражи информации, оснащенного такими функциями, как захват скриншотов, сбор данных со съемных носителей и смартфонов, регистрация нажатий клавиш и запись звука с микрофонов.

ASEC заявила, что группа RedEyes, к которой принадлежит ScarCruft, специально нацелена на таких лиц, как перебежчики из Северной Кореи, правозащитники и университетские профессора, с основной целью кражи ценной информации.

Несанкционированное прослушивание людей в Южной Корее считается нарушением конфиденциальности и строго регулируется соответствующими законами. Тем не менее, злоумышленникам удавалось отслеживать действия жертв на их компьютерах и даже вести прослушки.

Было замечено, что файлы CHM используются другими группами, связанными с Северной Кореей, включая Kimsuky. Компания SentinelOne недавно раскрыла кампанию, в ходе которой этот формат файла использовался для доставки разведывательного инструмента под названием RandomQuery.

В последнем наборе атак, выявленных ASEC, файлы CHM настроены на удаление файла BAT, который впоследствии используется для загрузки вредоносных программ более поздней стадии и эксфильтрации информации о пользователях со скомпрометированных хостов.

Целевой фишинг, который был предпочтительным методом первоначального доступа Kimsuky более десяти лет, обычно требует обширных исследований и тщательной подготовки, как подчеркивается в бюллетенях разведывательных служб США и Южной Кореи.

Эти выводы были сделаны после того, как Lazarus Group использовала уязвимости безопасности в широко используемом южнокорейском программном обеспечении, включая INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream и VestCert, в рамках своей активной кампании по проникновению в компании и развертыванию вредоносных программ.