Η advanced persistent threat (APT) ομάδα ScarCruft από τη Βόρεια Κορέα χρησιμοποιεί οπλισμένα αρχεία Microsoft Compiled HTML Help (CHM) για να μολύνει στοχευμένα μηχανήματα με πρόσθετο κακόβουλο λογισμικό.
Πολυάριθμες αναφορές από το AhnLab Security Emergency response Center (ASEC), το SEKOIA.IO και το Zscaler τονίζουν ότι αυτές οι προσπάθειες αποφυγής της ανίχνευσης καταδεικνύουν τις συνεχείς προσπάθειες της ομάδας να τελειοποιήσει τις στρατηγικές της.
«Η ομάδα εξελίσσει συνεχώς τα εργαλεία, τις τεχνικές και τις διαδικασίες της ενώ πειραματίζεται με νέες μορφές αρχείων και μεθόδους για να παρακάμψει τους προμηθευτές ασφαλείας», δήλωσαν οι ερευνητές της Zscaler Sudeep Singh και Naveen Selvan σε μια νέα ανάλυση που δημοσιεύθηκε την Τρίτη.
Η ομάδα ScarCruft, γνωστή και με τα άλλα ψευδώνυμα APT37, Reaper, RedEyes και Ricochet Chollima, ήταν ιδιαίτερα ενεργή από τις αρχές του 2021. Αυτή η κακόβουλη ομάδα είναι γνωστή για τις κατασκοπευτικές επιχειρήσεις της εναντίον νοτιοκορεατικών οντοτήτων, οι οποίες συνεχίζονται από το 2012.
Τον περασμένο μήνα, η ASEC αποκάλυψε μια καμπάνια που χρησιμοποιούσε αρχεία HWP που εκμεταλλεύονται ένα ελάττωμα ασφαλείας στο λογισμικό επεξεργασίας κειμένου Hangul για να αναπτύξουν ένα backdoor που αναφέρεται ως M2RAT.
Πρόσφατες ανακαλύψεις καταδεικνύουν ότι ο κακόβουλος φορέας χρησιμοποιεί και άλλους τύπους αρχείων, όπως CHM, HTA, LNK, XLL και έγγραφα του Microsoft Office που βασίζονται σε μακροεντολές, στις επιθέσεις spear-phishing προς στόχους της Νότιας Κορέας.
Οι αλυσίδες μόλυνσης χρησιμοποιούνται συχνά για να εμφανίσουν παραπλανητικά ένα αρχείο απομίμησης και να εγκαταστήσουν μια νεότερη έκδοση του Chinotto, το οποίο είναι ένα implant που βασίζεται στο PowerShell και είναι κατάλληλο για την εκτέλεση εντολών που αποστέλλονται από το διακομιστή και τη μεταφορά εμπιστευτικών δεδομένων.
Δείτε επίσης: Fake ChatGPT Chrome επέκταση παραβιάζει Facebook accounts
Το Chinotto φέρνει επανάσταση στον τρόπο με τον οποίο μπορούν να συλλεχθούν και να διασφαλιστούν οι πληροφορίες, με δυνατότητες αιχμής, όπως η αυτόματη λήψη screenshot κάθε πέντε δευτερόλεπτα και η καταγραφή των πληκτρολογήσεων. Αυτές οι λεπτομέρειες συμπιέζονται σε ένα αρχείο ZIP και στη συνέχεια αποστέλλονται σε έναν εξωτερικό διακομιστή για πρόσθετη ασφάλεια.
Οι πληροφορίες σχετικά με τα διάφορα διανύσματα επίθεσης του ScarCruft προέρχονται από ένα αποθετήριο GitHub που διατηρείται από την αντίπαλη ομάδα για να φιλοξενεί κακόβουλα ωφέλιμα φορτία από τον Οκτώβριο του 2020.
«Ο απειλητικός παράγοντας ήταν σε θέση να διατηρήσει ένα αποθετήριο GitHub, τοποθετώντας συχνά κακόβουλα ωφέλιμα φορτία για περισσότερα από δύο χρόνια χωρίς να εντοπιστεί ή να καταργηθεί», ανέφεραν οι ερευνητές του Zscaler.
Εκτός από την εξάπλωση κακόβουλου λογισμικού, η ομάδα ScarCruft είναι επίσης γνωστή ότι φιλοξενεί ιστοσελίδες phishing με credentials που στοχεύουν πολλαπλές υπηρεσίες ηλεκτρονικού ταχυδρομείου και cloud, συμπεριλαμβανομένων των Naver, iCloud, Kakao, Mail.ru και 163.com.
Δείτε επίσης: Dole: Η ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Προς το παρόν δεν είναι βέβαιο πώς τα θύματα αποκτούν πρόσβαση σε αυτές τις σελίδες, γεγονός που προκαλεί εικασίες ότι μπορεί να περιέχονται σε iframes σε ιστότοπους που διαχειρίζεται ο επιτιθέμενος ή να αποστέλλονται ως συνημμένα HTML μέσω ηλεκτρονικού ταχυδρομείου.
Ανακαλύφθηκε επίσης από το SEKOIA.IO ένα κομμάτι malware που ονομάζεται AblyGo, ένα backdoor γραμμένο σε Go που χρησιμοποιεί το πλαίσιο ανταλλαγής μηνυμάτων σε πραγματικό χρόνο Ably για τη λήψη εντολών.
Δείτε επίσης: Εντοπίστηκε μια νέα hacking εκστρατεία κλοπής πιστωτικών καρτών
Η χρήση αρχείων CHM για “smuggle malware” φαίνεται να πιάνει και άλλες ομάδες συνδεδεμένες με τη Βόρεια Κορέα, με την ASEC να αποκαλύπτει μια εκστρατεία phishing που ενορχηστρώθηκε από τον Kimsuky για να διανείμει ένα backdoor υπεύθυνο για τη συλλογή δεδομένων από το πρόχειρο και την καταγραφή των πληκτρολογήσεων.
Πηγή πληροφοριών: thehackernews.com
 ομάδα ScarCruft από τη Βόρεια Κορέα χρησιμοποιεί οπλισμένα αρχεία Microsoft Compiled HTML Help (CHM)...){kind=link}