FadeStealer Anställd av ScarCruft APT

Den nordkoreanska hotgruppen ScarCruft har nyligen observerats använda en tidigare okänd skadlig programvara som stjäl information som inkluderar avlyssningsmöjligheter. Dessutom har de utvecklat en bakdörr med hjälp av Golang, som utnyttjar Ably-meddelandetjänsten i realtid.

En teknisk rapport från AhnLab Security Emergency Response Center (ASEC) uppgav att hotaktören använde Ably-tjänsten för att överföra sina kommandon genom Golang-bakdörren. Den nödvändiga API-nyckeln för kommandokommunikation upptäcktes lagras i ett GitHub-förråd.

ScarCruft, som tros vara knuten till Nordkoreas ministerium för statlig säkerhet (MSS) och fungerar som en statligt sponsrad enhet, har varit aktiv sedan åtminstone 2012.

Deras attackmetodik involverar vanligtvis spjutfiskekampanjer för att leverera RokRAT skadlig programvara, även om de också har använt olika anpassade verktyg för att samla in känslig information.

Skadlig programvara levererad i Microsofts hjälpfil

I den senaste incidenten som upptäcktes av ASEC, innehöll det skadliga e-postmeddelandet en Microsoft Compiled HTML Help (.CHM)-fil. Denna teknik, som ursprungligen rapporterades i mars 2023, utlöser kontakt med en fjärrserver när du klickar, vilket leder till nedladdning av en PowerShell-skadlig programvara som heter Chinotto.

Chinotto, förutom att etablera uthållighet och hämta ytterligare nyttolaster, introducerar en bakdörr känd som AblyGo (även kallad SidLevel av Kaspersky), som utnyttjar Ably API-tjänsten för kommando-och-kontrolländamål.

Dessutom fungerar AblyGo som en kanal för att exekvera FadeStealer, en informationsstjäl skadlig programvara utrustad med funktioner som att ta skärmdumpar, samla in data från flyttbara media och smartphones, logga tangenttryckningar och spela in ljud från mikrofoner.

ASEC uppgav att RedEyes-gruppen, som ScarCruft tillhör, specifikt riktar sig mot individer som nordkoreanska avhoppare, människorättsaktivister och universitetsprofessorer, med det primära syftet att stjäla värdefull information.

Otillåten avlyssning av individer inom Sydkorea anses vara en kränkning av integriteten och är strikt reglerad under relevanta lagar. Trots detta lyckades hotaktörerna övervaka offrens aktiviteter på sina datorer och till och med genomförde avlyssning.

CHM-filer har observerats användas av andra Nordkorea-anslutna grupper, inklusive Kimsuky. SentinelOne avslöjade nyligen en kampanj där filformatet användes för att leverera ett spaningsverktyg vid namn RandomQuery.

I den senaste uppsättningen attacker som identifierats av ASEC är CHM-filerna konfigurerade att släppa en BAT-fil, som sedan används för att ladda ner skadlig programvara i ytterligare stadier och exfiltrera användarinformation från komprometterade värdar.

Spear-phishing, som har varit Kimsukys föredragna initiala åtkomstteknik i över ett decennium, involverar vanligtvis omfattande forskning och noggranna förberedelser, vilket framhålls i råd från amerikanska och sydkoreanska underrättelsetjänster.

Dessa fynd kommer i kölvattnet av Lazarus Groups exploatering av säkerhetsbrister i mycket använd sydkoreansk programvara, inklusive INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream och VestCert, som en del av deras aktiva kampanj för att infiltrera företag och distribuera skadlig programvara.