ScarCruft, una minaccia persistente avanzata (APT) attore con sede in Corea del Nord, è stato osservato utilizzando la Guida HTML compilata Microsoft armata (CHM) file per scaricare malware aggiuntivo. Centro di risposta alle emergenze di sicurezza AhnLab (UN SECONDO), SEKOIA.IO, e Zscaler hanno tutti riferito degli sforzi del gruppo per perfezionare e riorganizzare le sue tattiche per evitare il rilevamento.
Secondo i ricercatori di Zscaler Sudeep Singh e Naveen Selvan, ScarCruft, noto anche come APT37, Mietitrice, Occhi rossi, e Ricochet Chollima, è stato particolarmente attivo dall'inizio dell'anno, prendere di mira più entità sudcoreane per spionaggio. Il gruppo è attivo almeno da allora 2012 e continua ad evolvere i suoi strumenti, tecniche, e procedure, sperimentare nuovi formati di file e metodi per evitare i fornitori di sicurezza.
Le ultime campagne APT di ScarCruft rivelano nuovi trucchi per la distribuzione di malware
ASEC ha recentemente rivelato una campagna che utilizza file HWP dannosi per sfruttare una vulnerabilità di sicurezza nel software di elaborazione testi Hangul e distribuire una backdoor denominata M2RAT. Tuttavia, ulteriori ricerche hanno rivelato che l'autore della minaccia utilizza anche altri tipi di file come CHM, HTA, LNK, XLL, e documenti Microsoft Office basati su macro nei suoi attacchi di spear phishing contro obiettivi sudcoreani.
Chinotto, un impianto basato su PowerShell, viene utilizzato nelle catene di infezione per visualizzare un file esca e distribuire una versione aggiornata. Ha la capacità di eseguire comandi da un server e trasferire dati sensibili. Chinotto è stato anche migliorato per acquisire schermate ogni cinque secondi e registrare le sequenze di tasti, che vengono poi archiviati in un file ZIP e inviati a un server remoto.
Cosa si sa del malware Chinotto?
Chinotto lo era scoperto dai ricercatori di Kaspersky in 2021. Hanno identificato l'uso da parte del gruppo di “abbeveratoio” attacchi, e-mail di spear-phishing, e attacchi smishing per distribuire il malware. Una volta installato, Chinotto può essere utilizzato dagli aggressori per controllare i dispositivi compromessi, prendere screenshot, distribuire payload aggiuntivi, estrarre i dati di interesse, e caricarlo sui server controllati dagli aggressori.
È anche interessante notare che ScarCruft è stato osservato distribuire pagine Web di phishing delle credenziali che prendono di mira vari servizi di posta elettronica e cloud, come Naver, iCloud, Kakao, Mail.ru, e 163. com, oltre a impegnarsi nella distribuzione di malware.
Che cos'è una minaccia persistente avanzata (APT) Attacco informatico?
Minacce persistenti avanzate (APT) sono un tipo di attacco informatico che utilizza metodi avanzati per penetrare in un sistema e rimanervi nascosto per lunghi periodi di tempo. Questi attacchi mirati sono spesso condotti da gruppi altamente esperti e ben finanziati, come gli hacker sponsorizzati dallo stato o i sindacati della criminalità organizzata. A differenza di altri tipi di attacchi informatici, Gli APT vengono creati con l'intenzione di rubare dati o interrompere le operazioni senza lasciare alcuna prova, rendendoli difficili da identificare e da cui difendersi.
Gli APT impiegano una combinazione di tattiche e tecnologia come il malware, ingegneria sociale e exploit zero-day per infiltrarsi in reti e sistemi. Generalmente, Gli APT hanno un obiettivo specifico come ottenere informazioni riservate o proprietà intellettuale, ma possono anche essere usati per lo spionaggio, sabotaggio o persino guerra informatica.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: