Hackers Norte-Coreanos Armam Pesquisas Falsas para Entregar Backdoor RokRAT
23 de Janeiro de 2024

Organizações de mídia e especialistas de alto perfil em assuntos norte-coreanos foram alvo de uma nova campanha orquestrada por um agente de ameaça conhecido como ScarCruft em dezembro de 2023.

"O ScarCruft tem experimentado com novas cadeias de infecção, incluindo o uso de um relatório de pesquisa técnica de ameaça como isca, visando provavelmente consumidores de inteligência de ameaça como profissionais de cibersegurança", disseram os pesquisadores da SentinelOne, Aleksandar Milenkoski e Tom Hegel, em um relatório compartilhado com The Hacker News.

O adversário vinculado à Coreia do Norte, também conhecido pelos nomes APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, é considerado parte do Ministério da Segurança do Estado (MSS), diferenciando-se do Grupo Lazarus e Kimsuky, que são elementos dentro do Bureau Geral de Reconhecimento (RGB).

O grupo é conhecido por visar governos e desertores, usando iscas de spear-phishing para entregar o RokRAT e outras backdoors com o objetivo final de coletar inteligência secreta em busca dos interesses estratégicos da Coreia do Norte.

Em agosto de 2023, o ScarCruft foi vinculado a um ataque à empresa de engenharia de mísseis russa NPO Mashinostroyeniya ao lado do Grupo Lazarus, em uma missão que foi considerada uma "missão de espionagem estratégica altamente desejável" destinada a beneficiar seu controverso programa de mísseis.

No início desta semana, a mídia estatal norte-coreana informou que o país realizou um teste de seu "sistema de armas nucleares subaquáticas" em resposta a exercícios dos EUA, Coréia do Sul e Japão, descrevendo os exercícios como uma ameaça à sua segurança nacional.

O último ataque observado pela SentinelOne visou um especialista em assuntos norte-coreanos, posando como um membro do Instituto de Pesquisa da Coreia do Norte, instando o destinatário a abrir um arquivo de arquivo ZIP contendo materiais de apresentação.

Enquanto sete dos nove arquivos no arquivo são benignos, dois deles são arquivos de atalho (LNK) maliciosos do Windows, espelhando uma sequência de infecção em várias etapas previamente revelada pela Check Point em maio de 2023 para distribuir a backdoor RokRAT.

Existem evidências que sugerem que alguns dos individuais que foram alvo por volta de 13 de dezembro de 2023, também foram destacados anteriormente um mês antes, em 16 de novembro de 2023.

A SentinelOne disse que sua investigação também descobriu malware - dois arquivos LNK ("inteligence.lnk" e "news.lnk") - além de variantes de shellcode fornecendo RokRAT - que se diz ser parte dos processos de planejamento e teste do agente de ameaça.

Enquanto o primeiro arquivo de atalho apenas abre o aplicativo legítimo de bloco de notas, o shellcode executado via news.lnk abre o caminho para a implantação do RokRAT, embora este procedimento de infecção ainda não tenha sido observado no ambiente real, indicando seu provável uso em futuras campanhas.

Ambos os arquivos LNK foram observados implantando o mesmo documento isca, um relatório de inteligência de ameaça legítimo sobre o grupo de ameaça Kimsuky publicado pela empresa de cibersegurança sul-coreana Genians em outubro de 2023, em um movimento que sugere uma tentativa de expandir sua lista de alvos.

Isso levantou a possibilidade de o adversário estar buscando reunir informações que poderiam ajudá-lo a refinar seu manual operacional e também alvejar ou imitar profissionais de cibersegurança para infiltrar alvos específicos por meio de técnicas de personificação de marca.

O desenvolvimento é um sinal de que a equipe de hackers do estado-nação está ativamente ajustando seu modus operandi em um esforço aparente para evitar a detecção em resposta à divulgação pública sobre suas táticas e técnicas.

"O ScarCruft continua comprometido com a aquisição de inteligência estratégica e possivelmente pretende obter visões sobre a defesa e a inteligência de ameaças cibernéticas não divulgadas", disseram os pesquisadores.

"Isso permite que o adversário obtenha uma melhor compreensão de como a comunidade internacional percebe os desenvolvimentos na Coreia do Norte, contribuindo assim para os processos de tomada de decisão da Coreia do Norte."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...