Neueste ScarCruft-APT-Angriffe enthüllen neue Malware-Verteilungstricks

ScarCruft, eine fortgeschrittene anhaltende Bedrohung (GEEIGNET) Darsteller mit Sitz in Nordkorea, wurde bei der Verwendung von bewaffneter Microsoft Compiled HTML Help beobachtet (CHM) Dateien um zusätzliche Malware herunterzuladen. AhnLab Security Emergency Response Center (EINE SEKUNDE), SEKOIA.IO, und Zscaler haben alle über die Bemühungen der Gruppe berichtet, ihre Taktiken zu verfeinern und umzurüsten, um eine Entdeckung zu vermeiden.

Laut den Zscaler-Forschern Sudeep Singh und Naveen Selvan, ScarCruft, auch bekannt als APT37, Schnitter, Rote Augen, und Ricochet Chollima, ist seit Anfang des Jahres besonders aktiv, Angriff auf mehrere südkoreanische Einheiten wegen Spionage. Die Gruppe ist seit mindestens aktiv 2012 und entwickelt seine Tools ständig weiter, Techniken, und Verfahren, Experimentieren mit neuen Dateiformaten und Methoden, um Sicherheitsanbieter zu umgehen.

Neueste ScarCruft APT-Kampagnen enthüllen neue Malware-Verteilungstricks

ASEC hat kürzlich eine Kampagne enthüllt, die bösartige HWP-Dateien verwendet, um eine Sicherheitslücke in der Textverarbeitungssoftware Hangul auszunutzen und eine Hintertür namens M2RAT einzusetzen. Jedoch, Weitere Untersuchungen haben ergeben, dass der Angreifer auch andere Dateitypen wie CHM verwendet, HTA, LNK, XLL, und makrobasierte Microsoft Office-Dokumente bei seinen Spear-Phishing-Angriffen gegen südkoreanische Ziele.

Chinotto, ein PowerShell-basiertes Implantat, wird in Infektionsketten verwendet, um eine Lockdatei anzuzeigen und eine aktualisierte Version bereitzustellen. Es hat die Fähigkeit, Befehle von einem Server auszuführen und sensible Daten zu übertragen. Chinotto wurde auch verbessert, um alle fünf Sekunden Screenshots zu machen und Tastenanschläge zu protokollieren, die dann in einer ZIP-Datei archiviert und an einen Remote-Server gesendet werden.

Was über die Chinotto-Malware bekannt ist?

Chinotto war unbedeckt von Kaspersky-Forschern in 2021. Sie identifizierten die Verwendung der Gruppe von “Wasserstelle” Anschläge, Spear-Phishing-E-Mails, und Smishing-Angriffe, um die Malware einzusetzen. Einmal installiert, Chinotto kann von den Angreifern verwendet werden, um die kompromittierten Geräte zu kontrollieren, nehmen Screenshots, Bereitstellung zusätzlicher Nutzlasten, interessierende Daten extrahieren, und auf von Angreifern kontrollierte Server hochladen.

Es ist auch bemerkenswert, dass ScarCruft beobachtet wurde, wie es Credential-Phishing-Webseiten bereitstellt, die auf verschiedene E-Mail- und Cloud-Dienste abzielen, wie Naver, iCloud, Kakao, Mail.ru, und 163.com, zusätzlich zur Beteiligung an der Verbreitung von Malware.

Was ist eine Advanced Persistent Threat (GEEIGNET) Cyber Attacke?

Fortgeschrittene persistente Bedrohungen (APTs) sind eine Art Cyberangriff, bei dem fortschrittliche Methoden zum Einsatz kommen, um in ein System einzudringen und dort für lange Zeit unentdeckt zu bleiben. Diese gezielten Angriffe werden oft von sehr erfahrenen und finanziell gut ausgestatteten Gruppen durchgeführt, wie staatlich geförderte Hacker oder Syndikate der organisierten Kriminalität. Im Gegensatz zu anderen Arten von Cyberangriffen, APTs werden mit der Absicht erstellt, Daten zu stehlen oder den Betrieb zu stören, ohne Beweise zu hinterlassen, wodurch sie schwer zu identifizieren und abzuwehren sind.

APTs verwenden eine Kombination aus Taktiken und Technologien wie Malware, Social Engineering und Zero-Day-Exploits, um Netzwerke und Systeme zu infiltrieren. Allgemein, APTs haben ein bestimmtes Ziel wie den Erhalt vertraulicher Informationen oder geistigen Eigentums, sie können aber auch zur Spionage eingesetzt werden, Sabotage oder sogar Cyberkrieg.