L’acteur nord-coréen connu sous le nom de ScarCruft a été observé en train d’utiliser un logiciel malveillant voleur d’informations avec des fonctionnalités d’écoute électronique non documentées ainsi qu’une porte dérobée développée à l’aide de Golang qui exploite le service de messagerie en temps réel Ably.
« L’acteur de la menace a envoyé ses commandes via la porte dérobée Golang qui utilise le service Ably », a déclaré le centre d’intervention d’urgence de sécurité AhnLab (ASEC). a dit dans un rapport technique. « La valeur de la clé API requise pour la communication des commandes a été enregistrée dans un référentiel GitHub. »
ScarCruft est une organisation parrainée par l’État ayant des liens avec le ministère de la Sécurité d’État (MSS) de la Corée du Nord. Il est connu pour être actif depuis au moins 2012.
Les chaînes d’attaque montées par le groupe impliquent l’utilisation de leurres de harponnage pour fournir RokRAT, bien qu’il ait exploité un large éventail d’autres outils personnalisés pour récolter des informations sensibles.
Dans la dernière intrusion détectée par l’ASEC, l’e-mail contient un fichier Microsoft Compiled HTML Help (.CHM) – une tactique signalée pour la première fois en mars 2023 – qui, lorsqu’il est cliqué, contacte un serveur distant pour télécharger un malware PowerShell connu sous le nom de Chinotto .
Chinotto, en plus d’être responsable de la mise en place de la persistance, de la récupération de charges utiles supplémentaires, y compris une porte dérobée nommée AblyGo (alias SidLevel par Kaspersky) qui abuse de l’Ably pour le commandement et le contrôle.
Cela ne s’arrête pas là, car AblyGo est utilisé comme un conduit pour finalement exécuter un malware voleur d’informations appelé FadeStealer qui est livré avec diverses fonctionnalités pour prendre des captures d’écran, collecter des données à partir de supports amovibles et de smartphones, enregistrer les frappes au clavier et enregistrer le microphone.
« Le groupe RedEyes mène des attaques contre des individus spécifiques tels que des transfuges nord-coréens, des militants des droits de l’homme et des professeurs d’université », a déclaré l’ASEC. « Leur objectif principal est le vol d’informations. »
« L’écoute clandestine non autorisée d’individus en Corée du Sud est considérée comme une violation de la vie privée et est strictement réglementée par les lois en vigueur. Malgré cela, l’acteur menaçant a surveillé tout ce que les victimes faisaient sur leur PC et a même procédé à des écoutes téléphoniques. »
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Les fichiers CHM ont également été utilisés par d’autres groupes affiliés à la Corée du Nord tels que Kimsuky, avec SentinelOne divulguant une campagne récente tirant parti du format de fichier pour fournir un outil de reconnaissance appelé RandomQuery.
Dans un nouvelle série d’attaques repérés par l’ASEC, les fichiers CHM sont configurés pour déposer un fichier BAT, qui est ensuite utilisé pour télécharger les logiciels malveillants de la prochaine étape et exfiltrer les informations utilisateur de l’hôte compromis.
Selon un avis des agences de renseignement américaines et sud-coréennes, le harponnage, qui est la technique d’accès initiale préférée de Kimsuky depuis plus d’une décennie, est généralement précédé de recherches approfondies et d’une préparation méticuleuse.
Les conclusions suivent également les recommandations du groupe Lazarus exploitation active des failles de sécurité dans les logiciels tels que INISAFE CrossWeb EX, MagicLine4NX, TCO!Streamet VestCert qui sont largement utilisés en Corée du Sud pour violer les entreprises et déployer des logiciels malveillants.