ScarCruft, une menace persistante avancée (APTE) acteur basé en Corée du Nord, a été observé en utilisant l'aide HTML compilée Microsoft militarisée (CHM) fichiers pour télécharger des logiciels malveillants supplémentaires. Centre d'intervention d'urgence de sécurité AhnLab (UNE SECONDE), SEKOIA.IO, et Zscaler ont tous rendu compte des efforts du groupe pour affiner et réorganiser ses tactiques afin d'éviter la détection.
Selon les chercheurs de Zscaler Sudeep Singh et Naveen Selvan, ScarCruft, également connu sous le nom d'APT37, moissonneuse, Les yeux rouges, et Ricochet Chollima, a été particulièrement actif depuis le début de l'année, ciblant plusieurs entités sud-coréennes à des fins d'espionnage. Le groupe est actif depuis au moins 2012 et continue de faire évoluer ses outils, techniques, et procédures, expérimenter de nouveaux formats de fichiers et de nouvelles méthodes pour éviter les fournisseurs de sécurité.
Les dernières campagnes ScarCruft APT révèlent de nouvelles astuces de distribution de logiciels malveillants
L'ASEC a récemment révélé une campagne qui utilise des fichiers HWP malveillants pour tirer parti d'une faille de sécurité dans le logiciel de traitement de texte Hangul et déployer une porte dérobée appelée M2RAT. Cependant, des recherches plus approfondies ont révélé que l'auteur de la menace utilise également d'autres types de fichiers tels que CHM, HTA, LNK, XLL, et des documents Microsoft Office basés sur des macros dans ses attaques de harponnage contre des cibles sud-coréennes.
Chinotto, un implant à base de PowerShell, est utilisé dans les chaînes d'infection pour afficher un fichier leurre et déployer une version mise à jour. Il a la capacité d'exécuter des commandes à partir d'un serveur et de transférer des données sensibles. Chinotto a également été amélioré pour prendre des captures d'écran toutes les cinq secondes et enregistrer les frappes au clavier, qui sont ensuite archivés dans un fichier ZIP et envoyés à un serveur distant.
Ce que l'on sait du malware Chinotto?
Chinotto était découvert par les chercheurs de Kaspersky en 2021. Ils ont identifié l'utilisation par le groupe de “abreuvoir” attaques, e-mails de harponnage, et des attaques par smishing pour déployer le malware. Une fois installé, Chinotto peut être utilisé par les attaquants pour contrôler les appareils compromis, prendre des screenshots, déployer des charges utiles supplémentaires, extraire les données d'intérêt, et téléchargez-le sur des serveurs contrôlés par l'attaquant.
Il convient également de noter que ScarCruft a été observé en train de déployer des pages Web de phishing d'informations d'identification qui ciblent divers services de messagerie et de cloud., comme Naver, iCloud, Kakao, Mail.ru, et 163.com, en plus de s'engager dans la distribution de logiciels malveillants.
Qu'est-ce qu'une menace persistante avancée (APTE) Cyber-attaque?
Menaces persistantes avancées (APT) sont un type de cyberattaque qui utilise des méthodes avancées pour s'introduire dans un système et y rester sans être détecté pendant de longues périodes. Ces attaques ciblées sont souvent menées par des groupes très expérimentés et bien financés, comme les pirates informatiques parrainés par l'État ou les syndicats du crime organisé. Contrairement aux autres types de cyberattaques, Les APT sont créés dans l'intention de voler des données ou de perturber les opérations sans laisser de preuves, ce qui les rend difficiles à identifier et à défendre contre.
Les APT utilisent une combinaison de tactiques et de technologies comme les logiciels malveillants, ingénierie sociale et exploits zero-day pour infiltrer les réseaux et les systèmes. Généralement, Les APT ont un objectif spécifique comme l'obtention d'informations confidentielles ou de propriété intellectuelle, mais ils peuvent aussi être utilisés pour l'espionnage, sabotage ou même cyberguerre.