ScarCruft APT monta ataques espía de doble extremo para escritorio / móvil - Calendae | Informática, Electrónica, CMS, Ciberseguridad

ScarCruft APT monta ataques espía de doble extremo para escritorio / móvil

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y esta vez hablaremos sobre ScarCruft APT monta ataques espía de doble extremo para escritorio / móvil

ScarCruft APT monta ataques espía de doble extremo para escritorio / móvil

El grupo vinculado a Corea del Norte está desplegando la puerta trasera del software espía Chinotto contra disidentes, periodistas y otras personas políticamente relevantes en Corea del Sur.

El grupo de amenazas persistentes avanzadas (APT) ScarCruft, vinculado a Corea del Norte, ha desarrollado una nueva familia de malware multiplataforma para atacar a los desertores, periodistas y organizaciones gubernamentales de Corea del Norte involucrados en los asuntos de la península de Corea.

Según un análisis de Kaspersky, desde 2019, según un análisis de Kaspersky, ScarCruft (también conocido como APT37 o Temp.Reaper) ha estado usando un software espía apodado Chinotto para apuntar a las víctimas con fines de espionaje, aunque el código solo ha llamado la atención de los investigadores. recientemente.

Chinotto está en tres frentes, con el objetivo final en dos frentes de monitorear a las víctimas en dispositivos móviles y de escritorio.

«El actor utilizó tres tipos de malware con una funcionalidad similar: versiones implementadas en PowerShell, ejecutables de Windows y aplicaciones de Android», señalaron los investigadores en un Publicación del blog del lunes. “Mientras se dirigen a diferentes plataformas, comparten un esquema de comando y control similar basado en la comunicación HTTP. Por lo tanto, los operadores de malware pueden controlar toda la familia de malware a través de un conjunto de scripts de comando y control «.

ScarCruft comprueba específicamente si hay malware utilizando un script PHP en un servidor web comprometido, dirigiendo binarios basados ​​en parámetros HTTP.

Chinotto tiene varios trucos bajo la manga, dijeron los investigadores, incluida la evasión de detección (es decir, el uso de código basura para evitar el análisis) y la determinación de la persistencia a través de la clave de registro. Y en cuanto a la funcionalidad real del software espía, «muestra capacidades completas para verificar y extraer información confidencial de las víctimas», según Kaspersky, a través de tres tipos de variantes: un ejecutable de Windows, una versión de PowerShell y una aplicación de Android.

«El actor apuntó a las víctimas con un probable ataque de spear-phishing para sistemas Windows y smishing para sistemas Android», según Kaspersky. “El actor aprovecha las versiones ejecutables de Windows y las versiones de PowerShell para controlar los sistemas Windows. Podemos suponer que si el host y el teléfono móvil de una víctima se infectan al mismo tiempo, el operador de malware puede eludir la autenticación de dos factores al robar mensajes SMS del teléfono móvil.

Cuando se trata del ejecutable de Windows, la puerta trasera sondea continuamente su servidor de comando y control (C2), esperando los comandos del operador del malware. Los comandos incluyen balizas, ejecutar comandos de Windows, descargar y cargar archivos específicos, cargar archivos de registro, almacenar y cargar directorios completos, recopilar y cargar todos los archivos con extensiones específicas, tomar capturas de pantalla y actualizar malware.

Mientras tanto, según el análisis, una variante diferente de Chinotto contiene un script de PowerShell incorporado.

«Contiene comandos de puerta trasera adicionales, como la funcionalidad de carga y descarga», explicaron los investigadores. «Basándonos en la marca de tiempo de compilación de malware, estimamos que el autor del malware usó la versión integrada de PowerShell desde mediados de 2019 hasta mediados de 2020 y comenzó a usar el ejecutable de Windows malicioso y sin PowerShell a partir de fines de 2020».

Y finalmente, también hay una versión de la aplicación de Android de Chinotto, descubrió Kaspersky. Viene en forma de un APK malicioso que requiere permisos excesivos, lo que permite que la aplicación recopile información confidencial. Esto incluye mensajes SMS, mensajes de aplicaciones de mensajería, listas de contactos, información de cuenta almacenada, registros de llamadas, información del dispositivo y grabaciones de audio de llamadas telefónicas.

«Cada muestra tiene un nombre de paquete diferente, con la muestra analizada con ‘com.secure.protect’ como el nombre del paquete», explicaron los investigadores.

Chinotto permite al operador robar cualquier información en dispositivos móviles y de escritorio, que luego se puede utilizar en ataques posteriores, anotaron los investigadores: «Por ejemplo, el grupo intenta infectar a otros hosts valiosos y contactar a las víctimas potenciales utilizando cuentas de redes sociales. cuentas de correo electrónico. «

Kaspersky descubrió el malware mientras realizaba una investigación forense sobre una víctima que dirige un negocio relacionado con Corea del Norte. El ataque comenzó en las redes sociales cuando un representante de ScarCruft se puso en contacto con un conocido de la víctima utilizando la cuenta de Facebook robada de la víctima.

«Después de una conversación en las redes sociales, el actor envió un correo electrónico de phishing a la víctima potencial utilizando una cuenta de correo electrónico robada», dijeron los investigadores. «El actor aprovechó sus ataques utilizando credenciales de inicio de sesión robadas, como Facebook y cuentas de correo electrónico personales, y por lo tanto mostró un alto nivel de sofisticación».

El correo electrónico de spear-phishing contenía un archivo .RAR protegido por contraseña con la contraseña que se muestra en el cuerpo del correo electrónico; el archivo RAR, a su vez, contenía un documento de Word malicioso titulado «La última situación de Corea del Norte y nuestra seguridad nacional».

Este documento contenía una macro maliciosa que inició un proceso de infección de varias etapas.

«Sospechamos que este anfitrión se vio comprometido el 22 de marzo», dijeron los investigadores. “Después de la infección inicial, el actor intentó implantar malware adicional, pero se produjo un error que provocó el bloqueo del malware. Posteriormente, el operador de malware entregó el malware Chinotto en agosto de 2021 y probablemente comenzó a robar datos confidenciales de la víctima «.

En cuanto a la atribución, los investigadores de Kaspersky descubrieron varias superposiciones de código con un antiguo malware conocido como ScarCruft llamado POORWEB y un malware de robo de documentos que se sabe que utiliza la APT. Esto, combinado con la victimología (periodistas, diplomáticos y funcionarios del gobierno surcoreanos), indicó ScarCruft, según el análisis.

«Muchos periodistas, desertores y activistas de derechos humanos son blanco de sofisticados ciberataques», concluyó la empresa. «Al buscar activos relacionados, descubrimos un conjunto más antiguo de activos que data de mediados de 2020, lo que podría indicar que las operaciones de ScarCruft contra este grupo de personas han estado operando durante un período de tiempo más largo».

.

Recuerda compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *