Sjevernokorejski haker poznat kao ScarCruft je primijećen kako koristi maliciozni softver za krađu informacija s prethodnim nedokumentiranim funkcijama prisluškivanja, kao i backdoor razvijen pomoću Golanga koji iskorištava Ably servis za razmjenu poruka u realnom vremenu.
“Haker je slao svoje komande kroz stražnja vrata Golanga koja koristi uslugu Ably” navodi se u tehničkom izvještaju Centra za hitne reakcije AhnLab Security (ASEC). “Vrijednost API ključa potrebna za komunikaciju naredbi je sačuvana u GitHub repozitorijumu.”
ScarCruft je organizacija koju sponzoriše država s vezama s Ministarstvom državne sigurnosti Sjeverne Koreje (MSS). Poznato je da je aktivan najmanje od 2012. godine.
Lanci za napade koje je postavila grupa podrazumijevaju upotrebu mamaca za krađu identiteta za isporuku RokRAT-a, iako je koristio širok spektar drugih prilagođenih alata za prikupljanje osjetljivih informacija.
U najnovijem upadu koji je otkrio ASEC, email dolazi sa datotekom Microsoft Compiled HTML Help (.CHM), taktika koja je prvi put objavljena u martu 2023. godine, koja, kada se klikne, kontaktira udaljeni server da preuzme PowerShell malware poznat kao Chinotto.
Chinotto, osim što je odgovoran za postavljanje perzistentnosti, preuzima dodatne korisne podatke, uključujući backdoor kodnog imena AblyGo (aka SidLevel od Kaspersky-og) koji zloupotrebljava Ably API uslugu za komandovanje i kontrolu.
Tu se ne završava, jer se AblyGo koristi kao kanal za konačno izvršavanje malicioznog softvera za krađu informacija nazvanog FadeStealer koji dolazi s raznim funkcijama za snimanje ekrana, prikupljanje podataka sa prenosivih medija i pametnih telefona, evidentiranje pritisaka na tipke i snimanje mikrofona.
“Grupa RedEyes izvodi napade na određene pojedince kao što su sjevernokorejski bjegunci, aktivisti za ljudska prava i univerzitetski profesori” rekao je ASEC. “Njihov primarni fokus je na krađi informacija.”
“Neovlašteno prisluškivanje pojedinaca u Južnoj Koreji smatra se kršenjem privatnosti i strogo je regulisano relevantnim zakonima. Unatoč tome, haker je pratio sve što su žrtve radile na svom računaru, pa čak i prisluškivao.”
CHM fajlovi su takođe korišteni od strane drugih grupa povezanih sa Sjevernom Korejom, kao što je Kimsuky , a SentinelOne je otkrio nedavnu kampanju koja koristi format datoteke za isporuku alata za izviđanje pod nazivom RandomQuery.
U novom skupu napada koje je uočio ASEC, CHM datoteke su konfigurirane da ispuste BAT datoteku, koja se zatim koristi za preuzimanje malicioznog softvera sljedeće faze i eksfiltrovanje korisničkih informacija sa kompromitovanog hosta.
Spear phishing, koji je Kimsuky-eva preferirana tehnika početnog pristupa više od jedne decenije, obično prethodi opsežno istraživanje i pedantna priprema, prema savjetovanju američkih i južnokorejskih obavještajnih agencija.
Nalazi takođe prate aktivnu eksploataciju bezbjednosnih propusta od strane Lazarus grupe u softveru kao što su INISAFE CrossWeb EX , MagicLine4NX , TCO!Stream i VestCert koji se naširoko koriste u Južnoj Koreji za probijanje kompanija i postavljanje malicioznog softvera.
Izvor: The Hacker News
