ScarCruft, uma ameaça persistente avançada (APT) ator com sede na Coreia do Norte, foi observado usando a Ajuda HTML Compilada da Microsoft armada (CHM) arquivos para baixar malware adicional. Centro de resposta a emergências de segurança da AhnLab (UM SEGUNDO), SEKOIA.IO, e Zscaler relataram os esforços do grupo para refinar e reequipar suas táticas para evitar a detecção.
De acordo com os pesquisadores da Zscaler, Sudeep Singh e Naveen Selvan, ScarCruft, também conhecido como APT37, ceifeiro, Olhos vermelhos, e Ricochete Chollima, tem estado especialmente ativo desde o início do ano, visando várias entidades sul-coreanas para espionagem. O grupo está ativo desde pelo menos 2012 e continua a evoluir suas ferramentas, técnicas, e procedimentos, experimentando novos formatos de arquivo e métodos para evitar fornecedores de segurança.
As últimas campanhas ScarCruft APT revelam novos truques de distribuição de malware
A ASEC revelou recentemente uma campanha que usa arquivos HWP maliciosos para aproveitar uma vulnerabilidade de segurança no software de processamento de texto Hangul e implantar um backdoor conhecido como M2RAT. Contudo, pesquisas adicionais revelaram que o agente da ameaça também está usando outros tipos de arquivo, como CHM, HTA, LNK, XLL, e documentos do Microsoft Office baseados em macro em seus ataques de spear phishing contra alvos sul-coreanos.
Chinotto, um implante baseado em PowerShell, é usado em cadeias de infecção para exibir um arquivo chamariz e implantar uma versão atualizada. Tem a capacidade de executar comandos de um servidor e transferir dados confidenciais. Chinotto também foi aprimorado para fazer capturas de tela a cada cinco segundos e registrar as teclas digitadas, que são então arquivados em um arquivo ZIP e enviados para um servidor remoto.
O que se sabe sobre o malware Chinotto?
Chinotto era descoberto por pesquisadores da Kaspersky em 2021. Eles identificaram o uso do grupo de “regador” ataques, e-mails de spear phishing, e ataques smishing para implantar o malware. Uma vez instalado, Chinotto pode ser usado pelos invasores para controlar os dispositivos comprometidos, tirar screenshots, implantar cargas úteis adicionais, extrair dados de interesse, e enviá-lo para servidores controlados por invasores.
Também é digno de nota que o ScarCruft foi observado implantando páginas da web de phishing de credenciais que visam vários serviços de e-mail e nuvem, como Naver, iCloud, Kakao, Mail.ru, e 163.com, além de se envolver na distribuição de malware.
O que é uma ameaça persistente avançada (APT) Ataque cibernético?
Ameaças persistentes avançadas (APTs) são um tipo de ataque cibernético que usa métodos avançados para invadir um sistema e permanecer lá sem ser detectado por longos períodos de tempo. Esses ataques direcionados geralmente são conduzidos por grupos altamente experientes e bem financiados, como hackers patrocinados pelo estado ou sindicatos do crime organizado. Ao contrário de outros tipos de ataques cibernéticos, APTs são criados com a intenção de roubar dados ou interromper operações sem deixar nenhuma evidência, tornando-os difíceis de identificar e defender contra.
APTs empregam uma combinação de táticas e tecnologias como malware, engenharia social e explorações de dia zero para se infiltrar em redes e sistemas. Geralmente, Os APTs têm um objetivo específico, como obter informações confidenciais ou propriedade intelectual, mas também podem ser usados para espionagem, sabotagem ou mesmo guerra cibernética.