ScarCruft APT 僱用的 FadeStealer

最近，人們發現朝鮮威脅組織 ScarCruft 使用了一種先前未公開的包含竊聽功能的信息竊取惡意軟件。此外，他們還使用 Golang 開發了一個後門，利用 Ably 實時消息服務。

AhnLab 安全應急響應中心 (ASEC) 的一份技術報告指出，威脅行為者利用 Ably 服務通過 Golang 後門傳輸命令。我們發現命令通信所需的 API 密鑰存儲在 GitHub 存儲庫中。

據信，ScarCruft 隸屬於朝鮮國家安全部 (MSS)，並作為國家資助的實體運營，至少自 2012 年以來一直活躍。

他們的攻擊方法通常涉及魚叉式網絡釣魚活動來傳播 RokRAT 惡意軟件，儘管他們也利用各種定制工具來收集敏感信息。

Microsoft 幫助文件中提供的惡意軟件

在 ASEC 最近檢測到的事件中，惡意電子郵件包含 Microsoft 編譯的 HTML 幫助 (.CHM) 文件。該技術最初於 2023 年 3 月報導，點擊後會觸發與遠程服務器的聯繫，從而導致下載名為 Chinotto 的 PowerShell 惡意軟件。

Chinotto 除了建立持久性和檢索額外的有效負載之外，還引入了一個名為 AblyGo（卡巴斯基也稱為 SidLevel）的後門，它利用 Ably API 服務進行命令和控制。

此外，AblyGo 還充當執行 FadeStealer 的渠道，FadeStealer 是一種信息竊取惡意軟件，具有捕獲屏幕截圖、從可移動媒體和智能手機收集數據、記錄擊鍵以及從麥克風錄製音頻等功能。

ASEC 表示，ScarCruft 所屬的 RedEyes 組織專門針對朝鮮叛逃者、人權活動人士和大學教授等個人，其主要目的是竊取有價值的信息。

未經授權竊聽韓國境內的個人被視為侵犯隱私，並受到相關法律的嚴格監管。儘管如此，威脅行為者還是設法監視受害者在計算機上的活動，甚至進行竊聽。

據觀察，CHM 文件被包括 Kimsuky 在內的其他朝鮮附屬組織使用。 SentinelOne 最近披露了一項利用該文件格式來提供名為 RandomQuery 的偵察工具的活動。

在 ASEC 發現的最新一組攻擊中，CHM 文件被配置為刪除 BAT 文件，該文件隨後用於下載進一步階段的惡意軟件並從受感染的主機中竊取用戶信息。

正如美國和韓國情報機構的建議中所強調的那樣，魚叉式網絡釣魚十多年來一直是 Kimsuky 首選的初始訪問技術，通常需要廣泛的研究和精心的準備。

這些發現是在 Lazarus Group 利用廣泛使用的韓國軟件（包括 INISAFE CrossWeb EX、MagicLine4NX、TCO!Stream 和 VestCert）中的安全漏洞之後得出的，作為其滲透公司和部署惡意軟件的積極活動的一部分。