De nieuwste ScarCruft APT-aanvallen onthullen nieuwe trucs voor het verspreiden van malware

ScarCruft, een geavanceerde aanhoudende dreiging (APT) acteur gevestigd in Noord-Korea, is waargenomen met behulp van bewapende Microsoft Compiled HTML Help (CHM) bestanden om extra malware te downloaden. AhnLab Beveiliging Alarmcentrale (EEN SECONDE), SEKOIA.IO, en Zscaler hebben allemaal gerapporteerd over de inspanningen van de groep om zijn tactieken te verfijnen en aan te passen om ontdekking te voorkomen.

Volgens Zscaler-onderzoekers Sudeep Singh en Naveen Selvan, ScarCruft, ook bekend als APT37, Maaimachine, Rode ogen, en Ricochet Chollima, is vooral actief sinds het begin van het jaar, gericht op meerdere Zuid-Koreaanse entiteiten voor spionage. De groep is in ieder geval sindsdien actief 2012 en blijft zijn tools ontwikkelen, technieken, en procedures, experimenteren met nieuwe bestandsindelingen en methoden om beveiligingsleveranciers te vermijden.

De nieuwste ScarCruft APT-campagnes onthullen nieuwe trucs voor het verspreiden van malware

ASEC onthulde onlangs een campagne die kwaadaardige HWP-bestanden gebruikt om te profiteren van een beveiligingslek in de Hangul-tekstverwerkingssoftware en een achterdeur in te zetten die M2RAT wordt genoemd. Echter, verder onderzoek heeft uitgewezen dat de bedreigingsactor ook andere bestandstypen gebruikt, zoals CHM, HTA, LNK, XLL, en macro-gebaseerde Microsoft Office-documenten in zijn spear-phishing-aanvallen tegen Zuid-Koreaanse doelen.

Chinotto, een op PowerShell gebaseerd implantaat, wordt gebruikt in infectieketens om een lokaasbestand weer te geven en een bijgewerkte versie te implementeren. Het heeft de mogelijkheid om opdrachten van een server uit te voeren en gevoelige gegevens over te dragen. Chinotto is ook verbeterd om elke vijf seconden screenshots te maken en toetsaanslagen te loggen, die vervolgens worden gearchiveerd in een ZIP-bestand en naar een externe server worden verzonden.

Wat is er bekend over de Chinotto-malware?

Chinotto was onbedekt door onderzoekers van Kaspersky in 2021. Ze identificeerden het gebruik van de groep “afvoer” aanvallen, spear-phishing-e-mails, en smishing-aanvallen om de malware in te zetten. Eenmaal geïnstalleerd, Chinotto kan door de aanvallers worden gebruikt om de gecompromitteerde apparaten te besturen, nemen screenshots, extra ladingen inzetten, extraheren van interessante gegevens, en upload het naar door aanvallers gecontroleerde servers.

Het is ook opmerkelijk dat er is waargenomen dat ScarCruft credential phishing-webpagina's inzet die gericht zijn op verschillende e-mail- en cloudservices, zoals Naver, iCloud, Kakao, Mail.ru, en 163.com, naast het verspreiden van malware.

Wat is een geavanceerde aanhoudende dreiging (APT) Cyber aanval?

Geavanceerde aanhoudende bedreigingen (APT's) zijn een soort cyberaanval die geavanceerde methoden gebruikt om in een systeem in te breken en daar lange tijd onopgemerkt te blijven. Deze gerichte aanvallen worden vaak uitgevoerd door zeer ervaren en goed gefinancierde groepen, zoals door de staat gesponsorde hackers of georganiseerde misdaadsyndicaten. In tegenstelling tot andere soorten cyberaanvallen, APT's worden gemaakt met de bedoeling gegevens te stelen of operaties te verstoren zonder enig bewijs achter te laten, waardoor ze moeilijk te identificeren en te verdedigen zijn.

APT's gebruiken een combinatie van tactieken en technologie zoals malware, social engineering en zero-day exploits om netwerken en systemen te infiltreren. Algemeen, APT's hebben een specifiek doel, zoals het verkrijgen van vertrouwelijke informatie of intellectueel eigendom, maar ze kunnen ook worden gebruikt voor spionage, sabotage of zelfs cyberoorlogvoering.