Ο βορειοκορεατικός απειλητικός φορέας ScarCruft, άρχισε να πειραματίζεται με υπερμεγέθη αρχεία LNK ως διαδρομή παράδοσης για το κακόβουλο λογισμικό RokRAT ήδη από τον Ιούλιο του 2022, τον ίδιο μήνα που η Microsoft άρχισε να αποκλείει τις μακροεντολές σε όλα τα έγγραφα του Office από προεπιλογή.
Δείτε επίσης: FBI: Έκλεισε 9 crypto exchange sites που διευκόλυναν το ξέπλυμα χρήματος
Η ScarCruft, επίσης γνωστή με τα ονόματα APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes και Ricochet Chollima, είναι μια ομάδα hacking που στοχεύει σχεδόν αποκλειστικά σε άτομα και οντότητες της Νότιας Κορέας στο πλαίσιο επιθέσεων spear-phishing που έχουν σχεδιαστεί για να παραδώσουν μια σειρά από προσαρμοσμένα εργαλεία.
Το κύριο κακόβουλο λογισμικό που χρησιμοποιεί η ομάδα είναι το RokRAT (επίσης γνωστό ως DOGCALL), το οποίο από τότε έχει προσαρμοστεί σε άλλες πλατφόρμες όπως το macOS (CloudMensis) και το Android (RambleOn), υποδεικνύοντας ότι το backdoor αναπτύσσεται και συντηρείται ενεργά.
Δείτε επίσης: Πως χακαρίστηκε το crypto exchange Level Finance;
Το RokRAT και οι παραλλαγές του είναι εξοπλισμένα για να εκτελούν ένα ευρύ φάσμα δραστηριοτήτων, όπως κλοπή credentials, διαρροή δεδομένων, καταγραφή screenshot, συλλογή πληροφοριών συστήματος, εκτέλεση εντολών και shellcode και διαχείριση αρχείων και καταλόγων.
Οι πληροφορίες που συλλέγονται, ορισμένες από τις οποίες αποθηκεύονται με τη μορφή αρχείων MP3 για να καλύψουν τα ίχνη τους, αποστέλλονται πίσω χρησιμοποιώντας υπηρεσίες cloud όπως το Dropbox, το Microsoft OneDrive, το pCloud και το Yandex Cloud σε μια προσπάθεια να μεταμφιεστούν οι επικοινωνίες εντολής και ελέγχου (C2) ως νόμιμες.
Άλλα κακόβουλα λογισμικά που χρησιμοποιούνται από την ομάδα περιλαμβάνουν τα Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin και πιο πρόσφατα το M2RAT. Είναι επίσης γνωστό ότι χρησιμοποιεί κακόβουλο λογισμικό βασικών προϊόντων, όπως το Amadey – ένα πρόγραμμα λήψης που μπορεί να λάβει εντολές από τον επιτιθέμενο για να κατεβάσει πρόσθετα ωφέλιμα φορτία – σε μια προσπάθεια να μπερδέψει την απόδοση.
Την περασμένη εβδομάδα, το AhnLab Security Emergency Response Center (ASEC) ανέδειξε τη χρήση αρχείων LNK ως δόλωμα για την ενεργοποίηση ακολουθιών μόλυνσης. Τα αρχεία περιείχαν εντολές PowerShell που ανέπτυσσαν το RokRAT malware.
Δείτε επίσης: Είναι η παραπληροφόρηση το νέο malware;
Ενώ η αλλαγή στον τρόπο λειτουργίας σηματοδοτεί την προσπάθεια της ScarCruft να συμβαδίσει με το μεταβαλλόμενο οικοσύστημα απειλών, συνέχισε να χρησιμοποιεί κακόβουλα έγγραφα Word που βασίζονται σε μακροεντολές, μόλις τον Απρίλιο του 2023, για να κάνει drop το κακόβουλο λογισμικό, αντικατοπτρίζοντας μια παρόμοια αλυσίδα που αναφέρθηκε από τη Malwarebytes τον Ιανουάριο του 2021.
Ένα άλλο κύμα επιθέσεων παρατηρήθηκε στις αρχές Νοεμβρίου 2022, σύμφωνα με την ισραηλινή εταιρεία κυβερνοασφάλειας, η οποία χρησιμοποίησε αρχεία ZIP που ενσωμάτωναν αρχεία LNK για την ανάπτυξη του Amadey malware.
Τα ευρήματα έρχονται καθώς η Kaspersky αποκαλύπτει ένα νέο κακόβουλο λογισμικό που βασίζεται στο Go και αναπτύχθηκε από την ScarCruft, με την κωδική ονομασία SidLevel, το οποίο χρησιμοποιεί για πρώτη φορά την υπηρεσία ανταλλαγής μηνυμάτων στο cloud Ably ως μηχανισμό C2 και διαθέτει “εκτεταμένες δυνατότητες για την κλοπή ευαίσθητων πληροφοριών από τα θύματα.”
Πηγή πληροφοριών: thehackernews.com
