Seneste ScarCruft APT-angreb afslører nye tricks til distribution af malware

ScarCruft, en avanceret vedvarende trussel (APT) skuespiller baseret i Nordkorea, er blevet observeret ved hjælp af bevæbnet Microsoft Compiled HTML Help (CHM) filer for at downloade yderligere malware. AhnLab Security Emergency Response Center (ASEC), SEKOIA.IO, og Zscaler har alle rapporteret om gruppens bestræbelser på at forfine og ombygge sin taktik for at undgå opdagelse.

Ifølge Zscaler-forskerne Sudeep Singh og Naveen Selvan, ScarCruft, også kendt som APT37, Reaper, Røde øjne, og Ricochet Chollima, har været særligt aktiv siden starten af året, rettet mod flere sydkoreanske enheder for spionage. Gruppen har været aktiv siden i hvert fald 2012 og fortsætter med at udvikle sine værktøjer, teknikker, og procedurer, eksperimentere med nye filformater og metoder for at undgå sikkerhedsleverandører.

Seneste ScarCruft APT-kampagner afslører nye tricks til distribution af malware

ASEC afslørede for nylig en kampagne, der bruger ondsindede HWP-filer til at drage fordel af en sikkerhedssårbarhed i Hangul-tekstbehandlingssoftwaren og implementere en bagdør kaldet M2RAT. Men, yderligere forskning har afsløret, at trusselsaktøren også bruger andre filtyper såsom CHM, MTV, LNK, XLL, og makrobaserede Microsoft Office-dokumenter i dets spear-phishing-angreb mod sydkoreanske mål.

Chinotto, et PowerShell-baseret implantat, bruges i infektionskæder til at vise en lokkefil og implementere en opdateret version. Det har evnen til at udføre kommandoer fra en server og overføre følsomme data. Chinotto er også blevet forbedret til at tage skærmbilleder hvert femte sekund og logge tastetryk, som derefter arkiveres i en ZIP-fil og sendes til en ekstern server.

Hvad er kendt om Chinotto Malware?

Chinotto var afdækket af Kaspersky-forskere i 2021. De identificerede gruppens brug af “vandhul” angreb, spear-phishing-e-mails, og smishing-angreb for at implementere malwaren. Når det er installeret, Chinotto kan bruges af angriberne til at kontrollere de kompromitterede enheder, tage screenshots, implementere yderligere nyttelast, udtrække data af interesse, og upload det til angriberkontrollerede servere.

Det er også bemærkelsesværdigt, at ScarCruft er blevet observeret i at implementere legitimationsphishing-websider, der er målrettet mod forskellige e-mail- og cloudtjenester, såsom Naver, iCloud, Kakao, Mail.ru, og 163.com, ud over at engagere sig i malwaredistribution.

Hvad er en avanceret vedvarende trussel (APT) Cyber angreb?

Avancerede vedvarende trusler (APT'er) er en type cyberangreb, der bruger avancerede metoder til at bryde ind i et system og forblive der uopdaget i lange perioder. Disse målrettede angreb udføres ofte af meget erfarne og velfinansierede grupper, som statssponsorerede hackere eller organiserede kriminalitetssyndikater. I modsætning til andre typer cyberangreb, APT'er er oprettet med den hensigt at stjæle data eller forstyrre operationer uden at efterlade beviser, gør dem svære at identificere og forsvare sig imod.

APT'er anvender en kombination af taktik og teknologi som malware, social engineering og zero-day exploits til at infiltrere netværk og systemer. Generelt, APT'er har et specifikt mål som at få fortrolige oplysninger eller intellektuel ejendom, men de kan også bruges til spionage, sabotage eller endda cyberkrigsførelse.