[ad_1]
Hackers patrocinados pelo Estado norte-coreano, conhecidos como APT37, foram descobertos atacando jornalistas da RPDC com uma nova variedade de malware.
O malware é distribuído por meio de um ataque de phishing descoberto pela NK News, um site de notícias americano dedicado a cobrir notícias e fornecer pesquisas e análises sobre a Coreia do Norte, usando inteligência dentro do país.
Acredita-se que o grupo de hackers APT37, também conhecido como Ricochet Chollima, seja patrocinado pelo governo norte-coreano, que considera a reportagem uma operação hostil e tentou usar esse ataque para acessar informações altamente confidenciais e potencialmente identificar as fontes dos jornalistas.
Depois que a NK News descobriu o ataque, eles entraram em contato com especialistas em malware da Stairwell para obter mais assistência, que assumiu a análise técnica.
Stairwell encontrou uma nova amostra de malware chamada “Goldbackdoor”, que foi avaliada como sucessora de “Bluelight”.
Vale a pena notar que esta não é a primeira vez que o APT37 é vinculado a campanhas de malware direcionadas a jornalistas, sendo a mais recente um relatório de novembro de 2021 empregando o backdoor “Chinotto” altamente personalizável.
infecção sofisticada
Os e-mails de phishing se originaram da conta do ex-diretor do Serviço Nacional de Inteligência da Coréia do Sul (NIS), a quem o APT37 havia comprometido anteriormente.
A campanha altamente direcionada empregou um processo de infecção em dois estágios que deu aos agentes de ameaças maior versatilidade de implantação e dificultou o teste de cargas úteis para os analistas.
Os e-mails enviados aos jornalistas continham um link para baixar arquivos ZIP que continham arquivos LNK, ambos denominados ‘Kang Min-chol Editions’. Kang Min-chol é o Ministro das Indústrias de Mineração da Coreia do Norte.
O arquivo LNK (Windows Shortcut) é mascarado com um ícone de documento e usa preenchimento para aumentar artificialmente seu tamanho para 282,7 MB, dificultando os carregamentos fáceis para o Virus Total e outras ferramentas de detecção online.
Após a execução, um script do PowerShell é iniciado e um documento chamariz (doc) é aberto para entretenimento enquanto um segundo script é decodificado em segundo plano.
O documento chamariz continha uma imagem externa incorporada hospedada na plataforma Heroku, que alerta os agentes de ameaças quando o documento é visualizado.
O segundo script baixa e executa uma carga útil de código de shell armazenada no Microsoft OneDrive, um serviço de hospedagem de arquivos baseado em nuvem legítimo que provavelmente não gerará alertas de AV.
Essa carga útil é chamada de “Fantasy” e, de acordo com Stairwell, é o primeiro de dois mecanismos de implantação do Goldbackdoor, ambos baseados em injeção furtiva.
Malware Gold Backdoor
Goldbackdoor é executado como um arquivo PE (executável portátil) e pode aceitar remotamente comandos básicos e exfiltrar dados.
Para fazer isso, ele vem com um conjunto de chaves de API que ele usa para autenticar no Azure e recuperar comandos para execução. Esses comandos estão relacionados ao registro de teclas, operações de arquivo, RCE básico e a capacidade de desinstalação.
O malware usa serviços de nuvem legítimos para exfiltração de arquivos, e Stairwell observou o abuso do Google Drive e do Microsoft OneDrive.
Os arquivos visados pelo Goldbackdoor são principalmente documentos e mídia, como PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP e MSG.
Embora esta tenha sido uma campanha altamente direcionada, as regras de descoberta, exposição e detecção resultantes e os hashes de arquivo disponíveis no white paper Stairwell continuam sendo importantes para a comunidade de segurança da informação.
[ad_2]
