"Zaproszenie na spotkanie" od północnokoreańskich hakerów ... ze złośliwym ładunkiem

Północnokoreańska grupa hakerska wykorzystywała trojana RokRat w kampanii prawdopodobnie wymierzonej przeciwko swojemu południowemu sąsiadowi. Wykryta na początku grudnia kampania miała miejsce w styczniu ubiegłego roku, co zbiega się z inną kampanią przeprowadzoną na terenie Stanów Zjednoczonych, którą również przypisuje się tej grupie.  

Do ujawnienia ataku doszło poprzez analizę przesłanego do Virus Total dokumentu z osadzonym złośliwym ładunkiem.  W dokumencie zawarto zaproszenie na spotkanie, które miało odbyć się 23 stycznia 2020 roku.

Na podstawie przebadanego ładunku, eksperci z Malwarebytes Labs, ustalili powiązanie z północnokoreańską grupą APT37, znaną również jako ScarCruft, Reaper i Group123, działającą co najmniej od 2012 roku, atakującej głównie ofiary w Korei Południowej. Uważa się, że grupa ta działa na zlecenie rządu w Pjongjangu.

Wcześniejsze działania grupy opierały się na wykorzystywaniu dokumentów Hangul Office – oprogramowania bardzo popularnego w Korei Południowej. W tym wypadku, co ma być pewną ewolucją w działalności grupy, do ataku wykorzystano pakiet Microsoft Office. 

Ukryty w pliku ładunek po rozpakowaniu skupiał się na pobieraniu danych z zainfekowanego urządzenia oraz przesyłania ich do chmury. Jak wykazała analiza złośliwego oprogramowania - potrafi ono wykradać pliki, wykonywać zrzuty ekranu, przejmować dane uwierzytelniające oraz manipulować katalogami plików. 

Grupa APT37, znana pod wieloma nazwami, wcześniej została zidentyfikowana jako odpowiedzialna za operację phishingową przeprowadzoną na terenie Stanów Zjednoczonych. Kampania, której wykrycie ogłosił Microsoft na początku ubiegłego roku, skupiała się na rozsyłaniu wiadomości phishingowych, które przekierowywały ofiary na strony internetowe, gdzie użytkownicy proszeni byli o podanie nazwy użytkownika i hasła. Treść spreparowanych e-maili była dopracowana i sprawiała wrażenie wiarygodnych, co wzbudza zaufanie użytkowników.