Los últimos ataques APT de ScarCruft revelan nuevos trucos de distribución de malware

ScarCruft, una amenaza persistente avanzada (APTO) actor con sede en Corea del Norte, se ha observado utilizando la Ayuda HTML compilada de Microsoft como arma (CHM) archivos para descargar malware adicional. Centro de respuesta a emergencias AhnLab Security (UN SEGUNDO), SEKOIA.IO, y Zscaler han informado sobre los esfuerzos del grupo para refinar y reorganizar sus tácticas para evitar la detección..

Según los investigadores de Zscaler Sudeep Singh y Naveen Selvan, ScarCruft, también conocido como APT37, segador, Ojos rojos, y Ricochet Chollima, ha estado especialmente activo desde principios de año, apuntar a múltiples entidades de Corea del Sur para el espionaje. El grupo ha estado activo desde al menos 2012 y continúa evolucionando sus herramientas, técnicas, y procedimientos, experimentar con nuevos formatos de archivo y métodos para evitar a los proveedores de seguridad.

Las últimas campañas de ScarCruft APT revelan nuevos trucos de distribución de malware

ASEC reveló recientemente una campaña que utiliza archivos HWP maliciosos para aprovechar una vulnerabilidad de seguridad en el software de procesamiento de textos Hangul e implementar una puerta trasera denominada M2RAT.. Sin embargo, investigaciones adicionales han revelado que el actor de amenazas también está utilizando otros tipos de archivos como CHM, HTA, LNK, XLL, y documentos de Microsoft Office basados en macros en sus ataques de phishing dirigido contra objetivos de Corea del Sur.

Chinotto, un implante basado en PowerShell, se usa en cadenas de infección para mostrar un archivo señuelo e implementar una versión actualizada. Tiene la capacidad de ejecutar comandos desde un servidor y transferir datos confidenciales.. Chinotto también se ha mejorado para tomar capturas de pantalla cada cinco segundos y registrar las pulsaciones de teclas., que luego se archivan en un archivo ZIP y se envían a un servidor remoto.

Lo que se sabe sobre el malware Chinotto?

chinotto era descubierto por los investigadores de Kaspersky en 2021. Identificaron el uso del grupo de “abrevadero” ataques, correos electrónicos de spear-phishing, y ataques smishing para desplegar el malware. Una vez instalado, Chinotto puede ser utilizado por los atacantes para controlar los dispositivos comprometidos, tomar capturas de pantalla, implementar cargas útiles adicionales, extraer datos de interés, y subirlo a servidores controlados por atacantes.

También cabe destacar que se ha observado que ScarCruft implementa páginas web de phishing de credenciales que se dirigen a varios servicios de correo electrónico y en la nube., como Naver, iCloud, Kakao, Mail.ru, y 163.com, además de participar en la distribución de malware.

¿Qué es una amenaza persistente avanzada? (APTO) Ataque cibernetico?

Amenazas persistentes avanzadas (APT) son un tipo de ciberataque que utiliza métodos avanzados para entrar en un sistema y permanecer allí sin ser detectado durante largos periodos de tiempo. Estos ataques dirigidos a menudo son realizados por grupos altamente experimentados y bien financiados., como piratas informáticos patrocinados por el estado o sindicatos del crimen organizado. A diferencia de otros tipos de ciberataques, Las APT se crean con la intención de robar datos o interrumpir operaciones sin dejar ninguna evidencia., haciéndolos difíciles de identificar y defender contra.

Las APT emplean una combinación de tácticas y tecnología como el malware, ingeniería social y hazañas de día cero para infiltrarse en redes y sistemas. En general, Las APT tienen un objetivo específico como obtener información confidencial o propiedad intelectual., pero también pueden ser utilizados para el espionaje, sabotaje o incluso guerra cibernética.