L’acteur menaçant nord-coréen connu sous le nom de ScarCruft a commencé à expérimenter des fichiers LNK surdimensionnés comme voie de livraison pour les logiciels malveillants RokRAT dès juillet 2022, le même mois où Microsoft a commencé à bloquer les macros dans les documents Office par défaut.
« RokRAT n’a pas changé de manière significative au fil des ans, mais ses méthodes de déploiement ont évolué, utilisant désormais des archives contenant des fichiers LNK qui lancent des chaînes d’infection à plusieurs étapes », Check Point a dit dans un nouveau rapport technique.
« Il s’agit d’une autre représentation d’une tendance majeure dans le paysage des menaces, où les APT et les cybercriminels tentent de surmonter le blocage des macros provenant de sources non fiables. »
ScarCruft, également connu sous les noms APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes et Ricochet Chollima, est un groupe de menaces qui cible presque exclusivement des individus et des entités sud-coréens dans le cadre d’attaques de harponnage conçues pour fournir une gamme d’outils personnalisés. .
Le collectif contradictoire, contrairement au groupe Lazarus ou Kimsuky, est supervisé par le ministère de la Sécurité d’État de la Corée du Nord (SMS), qui est chargé des activités de contre-espionnage national et de contre-espionnage à l’étranger, par Mandiant.
Le principal malware de prédilection du groupe est RokRAT (alias DOGCALL), qui a depuis été adapté à d’autres plates-formes telles que macOS (CloudMensis) et Android (RambleOn), indiquant que la porte dérobée est activement développée et maintenue.
RokRAT et ses variantes sont équipés pour effectuer un large éventail d’activités telles que le vol d’informations d’identification, l’exfiltration de données, la capture d’écran, la collecte d’informations système, l’exécution de commandes et de shellcode, et la gestion de fichiers et de répertoires.
Les informations collectées, dont certaines sont stockées sous forme de fichiers MP3 pour brouiller les pistes, sont renvoyées à l’aide de services cloud tels que Dropbox, Microsoft OneDrive, pCloud et Yandex Cloud dans le but de déguiser le command-and-control (C2 ) communications comme légitimes.
Parmi les autres logiciels malveillants sur mesure utilisés par le groupe figurent, mais sans s’y limiter, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin et, plus récemment, M2RAT. Il est également connu d’utiliser des logiciels malveillants de base tels qu’Amadey, un téléchargeur qui peut recevoir des commandes de l’attaquant pour télécharger des charges utiles supplémentaires, dans le but de confondre l’attribution.
L’utilisation de fichiers LNK comme leurres pour activer les séquences d’infection a également été mise en évidence par le centre de réponse d’urgence de sécurité AhnLab (ASEC) la semaine dernière, avec les fichiers contenant des commandes PowerShell qui déploient le malware RokRAT.
Alors que le changement de mode opératoire signale les efforts de ScarCruft pour suivre l’évolution de l’écosystème des menaces, il a continué à exploiter des documents Word malveillants basés sur des macros aussi récemment qu’en avril 2023 pour supprimer le logiciel malveillant, reflétant une chaîne similaire qui était signalé par Malwarebytes en janvier 2021.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Une autre vague d’attaques observée début novembre 2022, selon la société israélienne de cybersécurité, a utilisé des archives ZIP incorporant des fichiers LNK pour déployer le malware Amadey.
« [The LNK file] peut déclencher une chaîne d’infection tout aussi efficace par un simple double-clic, une chaîne plus fiable que les exploits de n jours ou les macros Office qui nécessitent des clics supplémentaires pour se lancer », a déclaré Check Point.
« APT37 continue de représenter une menace considérable, lançant plusieurs campagnes sur les plates-formes et améliorant considérablement ses méthodes de diffusion de logiciels malveillants. »
Les découvertes surviennent alors que Kaspersky a divulgué un nouveau malware basé sur Go développé par ScarCruft et nommé SidLevel qui utilise pour la première fois le service de messagerie cloud Ably comme mécanisme C2 et est doté de « capacités étendues pour voler des informations sensibles aux victimes ».
« Le groupe continue de cibler des personnes liées à la Corée du Nord, notamment des romanciers, des étudiants universitaires, ainsi que des hommes d’affaires qui semblent renvoyer des fonds en Corée du Nord », a déclaré la société russe de cybersécurité. indiqué dans son rapport sur les tendances APT pour le premier trimestre 2023.