El actor norcoreano de amenazas persistentes avanzadas (APT) apodado ScarCruft está utilizando archivos de ayuda HTML compilada (CHM) de Microsoft armados para descargar malware adicional.
Según múltiples informes de Centro de respuesta a emergencias AhnLab Security (UN SEGUNDO), SEKOIA.IOy Escalador Zel desarrollo es ilustrativo de los esfuerzos continuos del grupo para refinar y reorganizar sus tácticas para eludir la detección.
«El grupo está en constante evolución de sus herramientas, técnicas y procedimientos mientras experimenta con nuevos formatos de archivo y métodos para eludir a los proveedores de seguridad», dijeron los investigadores de Zscaler Sudeep Singh y Naveen Selvan en un nuevo análisis publicado el martes.
ScarCruft, también rastreado bajo los nombres APT37, Reaper, RedEyes y Ricochet Chollima, ha exhibido un mayor ritmo operativo desde el comienzo del año, apuntando a varias entidades de Corea del Sur con fines de espionaje. Se sabe que está activo desde al menos 2012.
El mes pasado, ASEC reveló una campaña que empleaba archivos HWP que aprovechan una falla de seguridad en el software de procesamiento de textos Hangul para implementar una puerta trasera denominada M2RAT.
Pero los nuevos hallazgos revelan que el actor de amenazas también está utilizando otros formatos de archivo como CHM, HTA, LNK, XLL y documentos de Microsoft Office basados en macros en sus ataques de phishing dirigido contra objetivos de Corea del Sur.
Estas cadenas de infección a menudo sirven para mostrar un archivo señuelo e implementar una versión actualizada de un implante basado en PowerShell conocido como Chinotto, que es capaz de ejecutar comandos enviados por un servidor y filtrar datos confidenciales.
Algunas de las nuevas capacidades de Chinotto incluyen capturas de pantalla cada cinco segundos y registro de pulsaciones de teclas. La información capturada se guarda en un archivo ZIP y se envía a un servidor remoto.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Los conocimientos sobre los diversos vectores de ataque de ScarCruft provienen de un repositorio de GitHub mantenido por el colectivo adversario para alojar cargas útiles maliciosas desde octubre de 2020.
«El actor de amenazas pudo mantener un repositorio de GitHub, con frecuencia organizando cargas maliciosas durante más de dos años sin ser detectado o eliminado», dijeron los investigadores de Zscaler.
Fuera de la distribución de malware, también se ha observado que ScarCruft sirve páginas web de phishing de credenciales dirigidas a múltiples servicios de correo electrónico y en la nube como Naver, iCloud, Kakao, Mail.ru y 163.com.
Sin embargo, no está claro cómo acceden las víctimas a estas páginas, lo que plantea la posibilidad de que hayan sido incrustadas dentro de iframes en sitios web controlados por el atacante o enviadas como archivos adjuntos HTML por correo electrónico.
SEKOIA.IO también descubrió una pieza de malware llamada AblyGo, una puerta trasera escrita en Go que utiliza el Hábilmente marco de mensajería en tiempo real para recibir comandos.
El uso de archivos CHM para contrabandear malware también parece estar ganando terreno en otros grupos afiliados a Corea del Norte, como ASEC. descubriendo una campaña de phishing orquestada por Kimsuky para distribuir una puerta trasera responsable de recopilar datos del portapapeles y registrar las pulsaciones de teclas.