ScarCruft APT Memasang Serangan Mata-mata Dua Cabang Desktop/Seluler

Kelompok ScarCruft Advanced Persistent Threat (APT) yang terkait dengan Korea Utara telah mengembangkan keluarga malware multiplatform baru untuk menyerang pembelot, jurnalis, dan organisasi pemerintah Korea Utara yang terlibat dalam urusan Semenanjung Korea.

Sejak 2019, ScarCruft (alias APT37 atau Temp.Reaper) telah telah menggunakan spyware yang dijuluki Chinotto untuk menargetkan korban untuk tujuan spionase, menurut analisis dari Kaspersky, meskipun kode tersebut baru-baru ini menarik perhatian peneliti. desktop.

“Aktor menggunakan tiga jenis malware dengan fungsi serupa: Versi yang diimplementasikan di PowerShell, aplikasi Windows yang dapat dijalankan, dan aplikasi Android,” catat para peneliti dalam posting blog hari Senin. “Meskipun ditujukan untuk platform yang berbeda, mereka berbagi skema perintah dan kontrol yang serupa berdasarkan komunikasi HTTP. Oleh karena itu, operator malware dapat mengontrol seluruh keluarga malware melalui satu set skrip perintah dan kontrol.”

ScarCruft secara khusus mengontrol malware menggunakan skrip PHP pada server web yang disusupi, mengarahkan binari berdasarkan parameter HTTP.

Inside the Chinotto Backdoor

Chinotto memiliki berbagai trik, kata para peneliti, termasuk penghindaran deteksi (yaitu, menggunakan kode sampah untuk menghalangi analisis) dan membangun kegigihan melalui kunci registri. Dan sejauh fungsi spyware yang sebenarnya berjalan, itu “menunjukkan kemampuan yang sepenuhnya matang untuk mengontrol dan mengekstrak informasi sensitif dari para korban,” menurut Kaspersky, di tiga jenis varian: Windows yang dapat dijalankan, versi PowerShell dan aplikasi Android.

“Aktor tersebut menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android,” menurut Kaspersky. “Aktor memanfaatkan versi Windows yang dapat dieksekusi dan versi PowerShell untuk mengontrol sistem Windows. Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang bersamaan, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.” server command-and-control (C2), menunggu perintah dari operator malware. Perintah termasuk beaconing, menjalankan perintah Windows, mengunduh dan mengunggah file tertentu, mengunggah file log, mengarsipkan dan mengunggah seluruh direktori, mengumpulkan dan mengunggah semua file dengan ekstensi tertentu, mengambil tangkapan layar, dan memperbarui malware.

Sementara itu, varian Chinotto yang berbeda berisi skrip PowerShell tertanam, menurut analysis.

“Ini berisi perintah backdoor tambahan, seperti kemampuan mengunggah dan mengunduh,” jelas peneliti. “Berdasarkan stempel waktu pembuatan malware, kami menilai bahwa pembuat malware menggunakan versi tertanam PowerShell dari pertengahan 2019 hingga pertengahan 2020 dan mulai menggunakan Windows berbahaya tanpa PowerShell yang dapat dieksekusi mulai akhir 2020 dan seterusnya.”

And akhirnya, ada juga versi aplikasi Android dari Chinotto, Kaspersky menemukan. Muncul dalam bentuk APK berbahaya yang meminta izin berlebihan, yang memungkinkan aplikasi mengumpulkan informasi sensitif. Ini termasuk pesan SMS, pesan aplikasi perpesanan, daftar kontak, informasi akun yang disimpan, log panggilan, informasi perangkat, dan rekaman audio panggilan telepon.

“Setiap sampel memiliki nama paket yang berbeda, dengan sampel yang dianalisis memuat ‘com.secure.protect’ sebagai nama paket,” jelas peneliti.

Chinotto memungkinkan operator untuk mencuri informasi apa pun di desktop dan seluler, yang kemudian dapat digunakan dalam serangan lanjutan, para peneliti mencatat: “Misalnya, grup mencoba menginfeksi host dan kontak tambahan yang berharga. calon korban menggunakan akun media sosial atau akun email curian.”

Spear-Phishing Spycraft

Kaspersky menemukan malware saat melakukan penyelidikan forensik pada satu korban yang menjalankan bisnis yang terkait dengan Korea Utara. Serangan dimulai di media sosial ketika perwakilan ScarCruft menghubungi kenalan korban menggunakan akun Facebook korban yang dicuri.

“Setelah percakapan di media sosial, aktor mengirim email spear-phishing ke calon korban menggunakan akun email curian ,” kata peneliti. “Aktor tersebut memanfaatkan serangan mereka menggunakan kredensial login yang dicuri, seperti Facebook dan akun email pribadi, dan dengan demikian menunjukkan tingkat kecanggihan yang tinggi.”

Email spear-phishing berisi arsip .RAR yang dilindungi kata sandi dengan kata sandi yang ditampilkan di badan email ; file RAR pada gilirannya berisi dokumen Word berbahaya yang berjudul, “Situasi terbaru Korea Utara dan keamanan nasional kami.”

Dokumen ini berisi makro jahat yang memulai proses infeksi multi-tahap.

“Kami menduga host ini telah disusupi pada 22 Maret ,” kata peneliti. “Setelah infeksi awal, pelaku mencoba untuk menanamkan malware tambahan, tetapi terjadi kesalahan yang menyebabkan crash dari malware. Operator malware tersebut kemudian mengirimkan malware Chinotto pada Agustus 2021 dan mungkin mulai mengekstrak data sensitif dari korban.”

Sebagai atribusi, peneliti Kaspersky menemukan beberapa kode yang tumpang tindih dengan malware ScarCruft lama yang dikenal bernama POORWEB serta malware pencuri dokumen. APT diketahui digunakan. Ini, dikombinasikan dengan viktimologi (wartawan Korea Selatan, diplomat dan pegawai pemerintah), menunjuk ke ScarCruft, menurut analysis.

“Banyak jurnalis, pembelot dan aktivis hak asasi manusia menjadi sasaran serangan siber yang canggih,” perusahaan menyimpulkan. “Saat mencari aktivitas terkait, kami menemukan serangkaian aktivitas yang lebih lama sejak pertengahan 2020, yang mungkin menunjukkan bahwa operasi ScarCruft terhadap kelompok individu ini telah beroperasi untuk jangka waktu yang lebih lama.” internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Malwareliu

    <

    ul>iKeamanan Selulerliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: