Se ha observado que el actor de amenazas norcoreano conocido como ScarCruft usa un malware que roba información con funciones previas de escuchas telefónicas no documentadas, así como una puerta trasera desarrollada con Golang que explota el servicio de mensajería en tiempo real Ably.
«El actor de amenazas envió sus comandos a través de la puerta trasera de Golang que está utilizando el servicio Ably», dijo el Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) dicho en un informe técnico. «El valor de la clave API requerido para la comunicación de comandos se guardó en un repositorio de GitHub».
ScarCruft es un equipo patrocinado por el estado con vínculos con el Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Se sabe que está activo desde al menos 2012.
Las cadenas de ataque montadas por el grupo implican el uso de señuelos de phishing para entregar RokRAT, aunque ha aprovechado una amplia gama de otras herramientas personalizadas para recopilar información confidencial.
En la última intrusión detectada por ASEC, el correo electrónico contiene un archivo de ayuda HTML compilado (.CHM) de Microsoft, una táctica que se informó por primera vez en marzo de 2023, que, cuando se hace clic, se comunica con un servidor remoto para descargar un malware de PowerShell conocido como Chinotto. .
Chinotto, además de ser responsable de configurar la persistencia, recuperar cargas útiles adicionales, incluida una puerta trasera con nombre en código AblyGo (también conocido como SidLevel de Kaspersky) que abusa de Ably para comando y control.
No termina ahí, ya que AblyGo se utiliza como conducto para ejecutar en última instancia un malware de ladrón de información denominado FadeStealer que viene con varias funciones para tomar capturas de pantalla, recopilar datos de medios extraíbles y teléfonos inteligentes, registrar pulsaciones de teclas y grabar micrófonos.
“El grupo RedEyes lleva a cabo ataques contra personas específicas, como desertores de Corea del Norte, activistas de derechos humanos y profesores universitarios”, dijo ASEC. «Su enfoque principal es el robo de información».
«La escucha no autorizada de personas en Corea del Sur se considera una violación de la privacidad y está estrictamente regulada por las leyes pertinentes. A pesar de esto, el actor de amenazas monitoreó todo lo que las víctimas hicieron en su PC e incluso realizó escuchas telefónicas».
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Los archivos CHM también han sido empleados por otros grupos afiliados a Corea del Norte, como Kimsuky, y SentinelOne reveló una campaña reciente que aprovecha el formato de archivo para ofrecer una herramienta de reconocimiento llamada RandomQuery.
en un nuevo conjunto de ataques detectados por ASEC, los archivos CHM están configurados para soltar un archivo BAT, que luego se usa para descargar malware de próxima etapa y filtrar la información del usuario del host comprometido.
Spear-phishing, que ha sido la técnica de acceso inicial preferida de Kimsuky durante más de una década, generalmente está precedida por una amplia investigación y una preparación meticulosa, según un aviso de las agencias de inteligencia de EE. UU. y Corea del Sur.
Los hallazgos también siguen las recomendaciones del Grupo Lazarus explotación activa de fallas de seguridad en software como INISAFE CrossWeb EX, MagicLine4NX, TCO!Corrientey chalecoCert que se utilizan ampliamente en Corea del Sur para violar empresas e implementar malware.