ScarCruft APT 雇用的 FadeStealer

最近，人们发现朝鲜威胁组织 ScarCruft 使用了一种先前未公开的包含窃听功能的信息窃取恶意软件。此外，他们还使用 Golang 开发了一个后门，利用 Ably 实时消息服务。

AhnLab 安全应急响应中心 (ASEC) 的一份技术报告指出，威胁行为者利用 Ably 服务通过 Golang 后门传输命令。我们发现命令通信所需的 API 密钥存储在 GitHub 存储库中。

据信，ScarCruft 隶属于朝鲜国家安全部 (MSS)，并作为国家资助的实体运营，至少自 2012 年以来一直活跃。

他们的攻击方法通常涉及鱼叉式网络钓鱼活动来传播 RokRAT 恶意软件，尽管他们也利用各种定制工具来收集敏感信息。

Microsoft 帮助文件中提供的恶意软件

在 ASEC 最近检测到的事件中，恶意电子邮件包含 Microsoft 编译的 HTML 帮助 (.CHM) 文件。该技术最初于 2023 年 3 月报道，点击后会触发与远程服务器的联系，从而导致下载名为 Chinotto 的 PowerShell 恶意软件。

Chinotto 除了建立持久性和检索额外的有效负载之外，还引入了一个名为 AblyGo（卡巴斯基也称为 SidLevel）的后门，它利用 Ably API 服务进行命令和控制。

此外，AblyGo 还充当执行 FadeStealer 的渠道，FadeStealer 是一种信息窃取恶意软件，具有捕获屏幕截图、从可移动媒体和智能手机收集数据、记录击键以及从麦克风录制音频等功能。

ASEC 表示，ScarCruft 所属的 RedEyes 组织专门针对朝鲜叛逃者、人权活动人士和大学教授等个人，其主要目的是窃取有价值的信息。

未经授权窃听韩国境内的个人被视为侵犯隐私，并受到相关法律的严格监管。尽管如此，威胁行为者还是设法监视受害者在计算机上的活动，甚至进行窃听。

据观察，CHM 文件被包括 Kimsuky 在内的其他朝鲜附属组织使用。 SentinelOne 最近披露了一项利用该文件格式来提供名为 RandomQuery 的侦察工具的活动。

在 ASEC 发现的最新一组攻击中，CHM 文件被配置为删除 BAT 文件，该文件随后用于下载进一步阶段的恶意软件并从受感染的主机中窃取用户信息。

正如美国和韩国情报机构的建议中所强调的那样，鱼叉式网络钓鱼十多年来一直是 Kimsuky 首选的初始访问技术，通常需要广泛的研究和精心的准备。

这些发现是在 Lazarus Group 利用广泛使用的韩国软件（包括 INISAFE CrossWeb EX、MagicLine4NX、TCO!Stream 和 VestCert）中的安全漏洞之后得出的，作为其渗透公司和部署恶意软件的积极活动的一部分。