O grupo de ameaça persistente avançada (APT) norte-coreano conhecido como ScarCruft está usando arquivos Microsoft Compiled HTML Help (CHM) como arma para baixar malwares adicionais em máquinas específicas.
De acordo com vários relatórios do AhnLab Security Emergency Response Center (ASEC), SEKOIA e Zscaler, esse desenvolvimento ilustra os esforços contínuos do grupo para aprimorar e reestruturar suas táticas para evitar a detecção.
Os pesquisadores do Zscaler Sudeep Singh e Naveen Selvan afirmaram em uma nova análise publicada na terça-feira que "o grupo está constantemente evoluindo suas ferramentas, técnicas e procedimentos, enquanto experimenta novos formatos de arquivo e métodos para contornar os fornecedores de segurança".
ScarCruft, também conhecido pelos nomes APT37, Reaper, RedEyes e Ricochet Chollima, aumentou seu ritmo operacional desde o início do ano, visando várias entidades sul-coreanas para fins de espionagem.
Sabe-se que o grupo está ativo desde pelo menos 2012.
No mês passado, o ASEC revelou uma campanha que usava arquivos HWP que aproveitavam uma falha de segurança no software de processamento de palavras Hangul para implantar um backdoor chamado M2RAT.
No entanto, novas descobertas revelam que o grupo de ameaça também está usando outros formatos de arquivo, como CHM, HTA, LNK, XLL e documentos do Microsoft Office baseados em macro em seus ataques de spear-phishing contra alvos sul-coreanos.
Essas cadeias de infecção geralmente servem para exibir um arquivo de fachada e implantar uma versão atualizada de um implante baseado em PowerShell conhecido como Chinotto, que é capaz de executar comandos enviados por um servidor e exfiltrar dados sensíveis.
Algumas das novas capacidades do Chinotto incluem capturar capturas de tela a cada cinco segundos e registrar as teclas pressionadas.
As informações coletadas são então salvas em um arquivo ZIP e enviadas para um servidor remoto.
As informações sobre os vários vetores de ataque do ScarCruft vêm de um repositório do GitHub mantido pelo coletivo adversário para hospedar cargas maliciosas desde outubro de 2020.
"O ator de ameaça foi capaz de manter um repositório do GitHub, frequentemente encenando cargas maliciosas por mais de dois anos sem ser detectado ou derrubado", disseram os pesquisadores do Zscaler.
Além da distribuição de malware, o ScarCruft também foi observado servindo páginas de phishing de credenciais, visando múltiplos serviços de e-mail e nuvem, como Naver, iCloud, Kakao, Mail.ru e 163.com.
No entanto, não está claro como as vítimas acessam essas páginas, levantando a possibilidade de que elas possam ter sido incorporadas dentro de iframes em sites controlados pelo atacante ou enviadas como anexos HTML por e-mail.
O SEKOIA também descobriu um malware chamado AblyGo, um backdoor escrito em Go que utiliza a estrutura de mensagens em tempo real Ably para receber comandos.
O uso de arquivos CHM para contrabandear malwares parece estar ganhando popularidade com outros grupos afiliados à Coreia do Norte, com o ASEC descobrindo uma campanha de phishing orquestrada pelo Kimsuky para distribuir um backdoor responsável por coletar dados da área de transferência e registrar as teclas pressionadas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...