卡巴斯基研究团队报告,一个名为ScarCruft的朝鲜黑客组织,也称为APT37,ReaperGroup,InkySquid和Ricochet Chollima现在专门针对脱北者、报道朝鲜相关新闻的记者以及韩国的实体进行攻击。
"该组织利用了三种具有相似功能的恶意软件:在PowerShell,Windows可执行文件和Android应用程序中实现的版本,"卡巴斯基全球研究和分析团队(GReAT)在今天发布的一份新报告中表示。尽管它们适用于不同的平台,但它们共享基于 HTTP 通信的类似命令和控制方案。因此,恶意软件操作员可以通过一组命令和控制脚本来控制整个恶意软件系列。
ScarCruft可能至少自2012年以来一直活跃,它以瞄准位于韩国的公共和私营部门而闻名,旨在掠夺存储在受感染系统中的敏感信息,并且之前已经使用名为RokRAT的基于Windows的后门进行观察。
APT37使用的主要初始感染媒介是鱼叉式网络钓鱼,其中参与者向被恶意文档武器化的目标发送电子邮件。2021年8月,威胁行为者在Internet Explorer Web浏览器中使用两个漏洞被揭露,通过对韩国在线报纸进行水坑攻击,用称为BLUELIGHT的自定义植入物感染受害者。
卡巴斯基调查的案件在某些方面既相似又不同。该组织使用被盗的Facebook帐户凭据与受害者的同事和熟人联系以建立初步联系,然后通过鱼叉式网络钓鱼电子邮件跟进,其中包含受密码保护的RAR存档,其中包括Word文档。这份诱饵文件声称是关于"朝鲜的最新局势和我们的国家安全"。
打开 Microsoft Office 文档将触发宏的执行和文档中嵌入的下一阶段有效负载的解密。有效负载(一个 Visual Basic 应用程序 (VBA))包含一个外壳代码,而外壳代码又从远程服务器检索具有后门功能的最后阶段有效负载。
GReAT在其中一名受感染受害者身上发现的其他技术表明,在2021年3月22日违规后,运营商设法在8月至9月期间收集了两个月的屏幕截图,然后在8月下旬部署了一个名为Chinotto的功能齐全的恶意软件来控制设备并将敏感信息泄露给命令和控制(C2)服务器。
更重要的是,Chinotto配备了自己的Android变体,以实现监视其用户的相同目标。恶意APK文件通过短信诈骗攻击传递给收件人,提示用户在安装阶段授予其广泛的权限,使应用程序能够积累联系人列表,消息,通话记录,设备信息,录音以及存储在华为云端硬盘,腾讯微信(又名微信)和KakaoTalk等应用程序中的数据。
卡巴斯基表示,它与韩国的应急响应团队合作,破除了ScarCruft的攻击基础设施,并补充说,它在PoorWeb中追踪了Chinotto的根源,这是一个以前归因于APT组织使用的后门。
"许多记者、叛逃者和人权活动人士成为复杂网络攻击的目标,"研究人员说。"与公司不同,这些目标通常没有足够的工具来防范和应对高技能的监视攻击。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/128213.html