El actor de amenazas norcoreano conocido como ScarCruft comenzó a experimentar con archivos LNK de gran tamaño como ruta de entrega para el malware RokRAT en julio de 2022, el mismo mes en que Microsoft comenzó a bloquear las macros en los documentos de Office de forma predeterminada.
«RokRAT no ha cambiado significativamente a lo largo de los años, pero sus métodos de implementación han evolucionado, ahora utiliza archivos que contienen archivos LNK que inician cadenas de infección de varias etapas», Check Point dicho en un nuevo informe técnico.
«Esta es otra representación de una tendencia importante en el panorama de amenazas, donde tanto las APT como los ciberdelincuentes intentan superar el bloqueo de macros de fuentes no confiables».
ScarCruft, también conocido por los nombres APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes y Ricochet Chollima, es un grupo de amenazas que se dirige casi exclusivamente a personas y entidades de Corea del Sur como parte de ataques de phishing dirigidos diseñados para ofrecer una variedad de herramientas personalizadas. .
El colectivo adversario, a diferencia del Grupo Lazarus o Kimsuky, es supervisado por el Ministerio de Seguridad del Estado de Corea del Norte (SMS), que se encarga de las actividades de contraespionaje nacional y contrainteligencia en el extranjero, según Mandiant.
El principal malware elegido por el grupo es RokRAT (también conocido como DOGCALL), que desde entonces se ha adaptado a otras plataformas como macOS (CloudMensis) y Android (RambleOn), lo que indica que la puerta trasera se está desarrollando y manteniendo activamente.
RokRAT y sus variantes están equipados para llevar a cabo una amplia gama de actividades como robo de credenciales, exfiltración de datos, captura de pantalla, recopilación de información del sistema, ejecución de comandos y shellcode, y gestión de archivos y directorios.
La información recopilada, parte de la cual se almacena en forma de archivos MP3 para cubrir sus huellas, se devuelve mediante servicios en la nube como Dropbox, Microsoft OneDrive, pCloud y Yandex Cloud en un intento por disfrazar el comando y control (C2 ) comunicaciones como legítimas.
Otro malware personalizado utilizado por el grupo incluye, entre otros, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin y, más recientemente, M2RAT. También se sabe que utiliza malware básico como Amadey, un descargador que puede recibir comandos del atacante para descargar cargas útiles adicionales, en un intento por confundir la atribución.
El Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab también destacó el uso de archivos LNK como señuelos para activar las secuencias de infección la semana pasada, con los archivos que contienen comandos de PowerShell que implementan el malware RokRAT.
Si bien el cambio en el modus operandi señala los esfuerzos de ScarCruft para mantenerse al día con el cambiante ecosistema de amenazas, ha seguido aprovechando documentos de Word maliciosos basados en macros en abril de 2023 para eliminar el malware, reflejando una cadena similar que fue reportado por Malwarebytes en enero de 2021.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Otra ola de ataques observada a principios de noviembre de 2022, según la compañía de ciberseguridad israelí, empleó archivos ZIP que incorporaban archivos LNK para implementar el malware Amadey.
«[The LNK file] El método puede desencadenar una cadena de infección igualmente efectiva con un simple doble clic, una que es más confiable que las vulnerabilidades de n-day o las macros de Office que requieren clics adicionales para iniciarse», dijo Check Point.
«APT37 continúa representando una amenaza considerable, lanza múltiples campañas en las plataformas y mejora significativamente sus métodos de entrega de malware».
Los hallazgos se producen cuando Kaspersky reveló un nuevo malware basado en Go desarrollado por ScarCruft con nombre en código SidLevel que utiliza el servicio de mensajería en la nube Ably como un mecanismo C2 por primera vez y viene con «amplias capacidades para robar información confidencial de las víctimas».
“El grupo continúa apuntando a personas relacionadas con Corea del Norte, incluidos novelistas, estudiantes académicos y también empresarios que parecen enviar fondos a Corea del Norte”, dijo la firma rusa de ciberseguridad. anotado en su Informe de tendencias APT para el primer trimestre de 2023.