Μια ομάδα hacking της Βόρειας Κορέας χρησιμοποιεί το RokRat Trojan σε ένα νέο κύμα εκστρατειών που πραγματοποιεί κατά της κυβέρνησης της Νότιας Κορέας.
Το Remote Access Trojan (RAT) έχει συνδεθεί με επιθέσεις που βασίζονται στο exploit ενός επεξεργαστή κειμένου κορεατικής γλώσσας που χρησιμοποιείται στη Νότια Κορέα εδώ και αρκετά χρόνια – συγκεκριμένα, την παραβίαση των εγγράφων του Hangul Office (.HWP).
Στο παρελθόν, το malware είχε χρησιμοποιηθεί σε κάποιες καμπάνιες ηλεκτρονικού ψαρέματος που προσέλκυαν τα θύματα τους μέσω κάποιων email που περιείχαν συνημμένα με πολιτικά θέματα – όπως η κορεατική ενοποίηση και τα ανθρώπινα δικαιώματα της Βόρειας Κορέας.
Το RokRat πιστεύεται ότι είναι δουλειά της ομάδας APT37, επίσης γνωστή ως ScarCruft, Reaper και Group123. Η ομάδα είναι ενεργή από το 2012 τουλάχιστον και είναι πιθανώς χρηματοδοτούμενη από το κράτος και ενδεχομένως αναλαμβάνει την στόχευση οντοτήτων στο κυβερνών κόμμα της Βόρειας Κορέας.
Σύμφωνα με τον ερευνητή ασφάλειας του Malwarebytes, Hossein Jazi, ενώ οι προηγούμενες εκστρατείες επικεντρώθηκαν στην εκμετάλλευση αρχείων .HWP, ένα νέο δείγμα εγγράφου phishing που αποδίδεται στην APT37 αποκαλύπτει μια άλλη τακτική.
Σε μια δημοσίευση που κυκλοφόρησε αυτήν την εβδομάδα, η εταιρεία ασφάλειας στον κυβερνοχώρο περιέγραψε την ανακάλυψη ενός νέου κακόβουλου εγγράφου που ανέβηκε στο Virus Total στις 7 Δεκεμβρίου. Το αρχείο ισχυρίζεται ότι είναι ένα αίτημα για ένα meeting στις αρχές του 2020, γεγονός που υποδηλώνει ότι έχουν πραγματοποιηθεί και άλλες επιθέσεις κατά τη διάρκεια του περασμένου έτους.
Το Malwarebytes λέει ότι το περιεχόμενο του αρχείου υποδεικνύει επίσης ότι έχει χρησιμοποιηθεί για τη στόχευση της κυβέρνησης της Νότιας Κορέας.
Το έγγραφο δεν ακολουθεί την παραδοσιακό .HWP path της APT37. Αντ ‘αυτού, μια ενσωματωμένη μακροεντολή χρησιμοποιεί μια τεχνική αυτο αποκωδικοποίησης VBA για να αποκωδικοποιηθεί στη μνήμη του Microsoft Office. Αυτό σημαίνει ότι το κακόβουλο λογισμικό δεν χρειάζεται να γράφεται στον δίσκο, ενδεχομένως στην προσπάθεια του να εντοπιστεί.
Μόλις το Microsoft Office παραβιαστεί, ένα «unpacker stub» ενσωματώνει μια παραλλαγή του RokRat στο “Notepad software”. Σύμφωνα με το Malwarebytes, αυτή η τεχνική επιτρέπει την παράκαμψη “πολλών μηχανισμών ασφαλείας” με λίγη προσπάθεια.
Για να παρακάμψουν την ασφάλεια της Microsoft, η οποία αποτρέπει τη δυναμική εκτέλεση της μακροεντολής, οι εισβολείς πρέπει πρώτα να παρακάμψουν το VB object model (VBOM) τροποποιώντας τα registry values.
Η κακόβουλη μακροεντολή θα ελέγξει για να δει εάν μπορεί να προσπελαστεί το VBOM και θα προσπαθήσει να ορίσει το registry key VBOM σε ένα εάν πρέπει να παρακαμφθεί. Ανάλογα με τα αποτελέσματα του ελέγχου, όπως εάν η ρύθμιση VBOM έχει ήδη παρακαμφθεί, το περιεχόμενο της μακροεντολής μπορεί να κάνει διάφορες ενέργειες.
Η κύρια λειτουργία του payload είναι η δημιουργία ενός module που χρησιμοποιεί shellcode για να θέσει σε κίνδυνο το Notepad πριν καλέσει ένα κρυπτογραφημένο αρχείο που φιλοξενείται στον Google Drive και περιέχει το RokRat.
Μόλις αναπτυχθεί σε ένα ευάλωτο μηχάνημα, το RokRat θα επικεντρωθεί στη συλλογή των δεδομένων από το σύστημα προτού τα στείλει σε λογαριασμούς – που ελέγχονται από τους εισβολείς – σε υπηρεσίες όπως οι Pcloud, Dropbox, Box και Yandex. Το malware μπορεί να κλέψει αρχεία και credentials, να τραβήξει screenshots και να παραβιάσει τα file directories.
Πηγή πληροφοριών: zdnet.com
