ScarCruft da Coreia do Norte implanta o malware RokRAT por meio de cadeias de infecção de arquivos LNK
2 de Maio de 2023

O ator de ameaças norte-coreano conhecido como ScarCruft começou a experimentar com arquivos LNK sobredimensionados como rota de entrega para o malware RokRAT já em julho de 2022, o mesmo mês em que a Microsoft começou a bloquear macros em documentos do Office por padrão.

"O RokRAT não mudou significativamente ao longo dos anos, mas seus métodos de implantação evoluíram, agora utilizando arquivos de arquivo contendo LNK que iniciam cadeias de infecção de várias etapas", disse a Check Point em um novo relatório técnico.

"Isso é mais uma representação de uma grande tendência no cenário de ameaças, onde APTs e criminosos cibernéticos tentam superar o bloqueio de macros de fontes não confiáveis."

ScarCruft, também conhecido pelos nomes APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes e Ricochet Chollima, é um grupo de ameaças que quase exclusivamente alveja indivíduos e entidades sul-coreanas como parte de ataques de spear-phishing projetados para entregar uma variedade de ferramentas personalizadas.

O coletivo adversário, ao contrário do Grupo Lazarus ou Kimsuky, é supervisionado pelo Ministério da Segurança do Estado (MSS) da Coreia do Norte, que é encarregado de contraespionagem doméstica e atividades de contra-inteligência no exterior, de acordo com a Mandiant.

O malware primário de escolha do grupo é o RokRAT (também conhecido como DOGCALL), que desde então foi adaptado para outras plataformas, como macOS (CloudMensis) e Android (RambleOn), indicando que a porta dos fundos está sendo ativamente desenvolvida e mantida.

O RokRAT e suas variantes estão equipados para realizar uma ampla gama de atividades, como roubo de credenciais, exfiltração de dados, captura de tela, coleta de informações do sistema, execução de comando e shellcode e gerenciamento de arquivos e diretórios.

As informações coletadas, algumas das quais são armazenadas na forma de arquivos MP3 para encobrir suas trilhas, são enviadas de volta usando serviços em nuvem como Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud na tentativa de disfarçar as comunicações de comando e controle (C2) como legítimas.

Outro malware feito sob medida usado pelo grupo inclui, mas não se limita a, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin e, mais recentemente, M2RAT.

Também é conhecido por usar malware de commodities, como o Amadey, um downloader que pode receber comandos do atacante para baixar payloads adicionais, na tentativa de confundir a atribuição.

O uso de arquivos LNK como iscas para ativar as sequências de infecção também foi destacado pelo Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) na semana passada, com os arquivos contendo comandos do PowerShell que implantam o malware RokRAT.

Embora a mudança no modus operandi sinalize os esforços da ScarCruft para acompanhar o ecossistema de ameaças em mudança, ela continuou a alavancar documentos maliciosos baseados em macros do Word tão recentemente quanto abril de 2023 para deixar cair o malware, espelhando uma cadeia semelhante que foi relatada pela Malwarebytes em janeiro de 2021.

Outra onda de ataques observada no início de novembro de 2022, de acordo com a empresa de cibersegurança israelense, empregou arquivos ZIP que incorporavam arquivos LNK para implantar o malware Amadey.

"[O arquivo LNK] método pode desencadear uma cadeia de infecção igualmente eficaz com um simples clique duplo, uma que é mais confiável do que os exploits n-day ou as macros do Office que exigem cliques adicionais para serem iniciados", disse a Check Point.

"APT37 continua a representar uma ameaça considerável, lançando múltiplas campanhas em várias plataformas e melhorando significativamente seus métodos de entrega de malware."

As descobertas surgem quando a Kaspersky divulgou um novo malware baseado em Go desenvolvido pela ScarCruft codificado como SidLevel que utiliza o serviço de mensagens em nuvem Ably como mecanismo C2 pela primeira vez e vem com "extensas capacidades para roubar informações sensíveis de vítimas".

"O grupo continua a mirar indivíduos relacionados à Coreia do Norte, incluindo romancistas, estudantes acadêmicos e também empresários que parecem enviar fundos de volta para a Coreia do Norte", observou a empresa de cibersegurança russa em seu Relatório de Tendências APT para o 1º trimestre de 2023.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...