Uma campanha de ataque cibernético em andamento tem como alvo indivíduos de língua coreana, empregando iscas de documentos com temática do exército dos EUA para enganá-los a executar malware em sistemas comprometidos.
A empresa de segurança cibernética Securonix está rastreando a atividade com o nome de STARK#MULE.
A escala dos ataques não é conhecida atualmente e não está claro se qualquer uma dessas tentativas de ataque foi bem-sucedida.
"Com base na fonte e nos prováveis alvos, esses tipos de ataques estão em pé de igualdade com ataques passados originados de grupos típicos da Coréia do Norte, como o APT37, já que a Coréia do Sul historicamente tem sido um alvo primário do grupo, especialmente seus oficiais de governo", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório compartilhado com o The Hacker News.
O APT37, também conhecido pelos nomes Nickel Foxcroft, Reaper, Ricochet Chollima e ScarCruft, é um ator estatal norte-coreano conhecido por focar exclusivamente em alvos em seu contraparte do sul, especificamente aqueles envolvidos em relatórios sobre a Coréia do Norte e apoiando desertores.
As cadeias de ataques montadas pelo grupo historicamente confiaram em engenharia social para enganar as vítimas e entregar payloads como o RokRat nas redes-alvo.
Dito isso, o coletivo adversarial expandiu seu arsenal ofensivo com uma variedade de famílias de malware nos meses recentes, incluindo um backdoor baseado em Go chamado AblyGo.
Uma característica notável da nova campanha é a utilização de sites de comércio eletrônico coreanos comprometidos para a fase de payloads e de comando e controle (C2) em uma tentativa de passar despercebido pelas soluções de segurança instaladas nos sistemas.
Os emails de phishing que atuam como o progenitor usam mensagens de recrutamento do exército dos EUA para convencer os destinatários a abrir um arquivo ZIP, que contém um arquivo de atalho que aparece disfarçado de documento PDF.
O arquivo de atalho, quando lançado, exibe um PDF isca, mas também ativa secretamente a execução de um arquivo "Thumbs.db" presente no arquivo de arquivo.
"Esse arquivo executa várias funções, que incluem baixar mais carregadores e utilizar schtasks.exe para estabelecer persistência", explicaram os pesquisadores.
Dois dos módulos da próxima etapa - "lsasetup.tmp" e "winrar.exe" - são recuperados de um site de comércio eletrônico comprometido chamado "jkmusic", este último é usado para extrair e executar o conteúdo de "lsasetup.tmp", um binário ofuscado que se conecta a um segundo site de comércio eletrônico chamado "notebooksell".
"Uma vez que a conexão foi estabelecida, os atacantes foram capazes de adquirir detalhes do sistema, como MAC do sistema, versão do Windows, [e] endereço IP", disseram os pesquisadores.
"Ambos os sites estão registrados na Coréia [e] só utilizam o protocolo HTTP."
A divulgação ocorre enquanto o APT37 também tem sido observado utilizando arquivos CHM em emails de phishing se passando por emails de segurança de instituições financeiras e empresas de seguros para implantar malware de roubo de informações e outros binários, de acordo com o Centro de Resposta a Emergências de Segurança da AhnLab (ASEC).
"Em particular, o malware que visa usuários específicos na Coréia pode incluir conteúdo sobre tópicos de interesse para o usuário para encorajá-los a executar o malware, por isso os usuários devem evitar abrir emails de fontes desconhecidas e não devem executar seus anexos", disse o ASEC.
O APT37 é um dos muitos grupos patrocinados pelo estado norte-coreano que chamaram a atenção por executar ataques projetados para cometer roubo financeiro - incluindo os recentes ataques ao Alphapo e CoinsPaid - e coletar informações em busca dos objetivos políticos e de segurança nacional do regime.
Isso também inclui o notório Grupo Lazarus e seus sub-grupos Andariel e BlueNoroff, com os atores utilizando um backdoor chamado ScoutEngine e uma versão totalmente remodelada de um framework de malware chamado MATA (MATAv5) em intrusões voltadas para empresas de defesa na Europa Oriental em setembro de 2022.
"Esse malware sofisticado, completamente reescrito do zero, apresenta uma arquitetura avançada e complexa que faz uso de módulos e plug-ins carregáveis e incorporados", disse a Kaspersky em seu relatório de tendências APT para Q2 2023.
"O malware aproveita os canais de Comunicação entre Processos (IPC) internamente e emprega uma gama diversificada de comandos, permitindo que ele estabeleça cadeias de proxy em vários protocolos, inclusive no ambiente da vítima."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...