"Zaproszenie na spotkanie" od północnokoreańskich hakerów ... ze złośliwym ładunkiem

7 stycznia 2021, 16:07
1024px-PYONGYANG_CITY_DPRK_NORTH_KOREA_OCT_2012_(8644303810)
fot. calflier001 / Wikimedia Commons / CC BY-SA 2.0

Północnokoreańska grupa APT37 jest prawdopodobnie odpowiedzialna za przeprowadzenie kampanii phishingowej wymierzonej w rząd Korei Południowej. Zachętą do otworzenia zainfekowanego pliku pakietu Microsoft Office było zaproszenie na spotkanie.  

Północnokoreańska grupa hakerska wykorzystywała trojana RokRat w kampanii prawdopodobnie wymierzonej przeciwko swojemu południowemu sąsiadowi. Wykryta na początku grudnia kampania miała miejsce w styczniu ubiegłego roku, co zbiega się z inną kampanią przeprowadzoną na terenie Stanów Zjednoczonych, którą również przypisuje się tej grupie.  

Do ujawnienia ataku doszło poprzez analizę przesłanego do Virus Total dokumentu z osadzonym złośliwym ładunkiem.  W dokumencie zawarto zaproszenie na spotkanie, które miało odbyć się 23 stycznia 2020 roku.

Na podstawie przebadanego ładunku, eksperci z Malwarebytes Labs, ustalili powiązanie z północnokoreańską grupą APT37, znaną również jako ScarCruft, Reaper i Group123, działającą co najmniej od 2012 roku, atakującej głównie ofiary w Korei Południowej. Uważa się, że grupa ta działa na zlecenie rządu w Pjongjangu.

Wcześniejsze działania grupy opierały się na wykorzystywaniu dokumentów Hangul Office – oprogramowania bardzo popularnego w Korei Południowej. W tym wypadku, co ma być pewną ewolucją w działalności grupy, do ataku wykorzystano pakiet Microsoft Office. 

Ukryty w pliku ładunek po rozpakowaniu skupiał się na pobieraniu danych z zainfekowanego urządzenia oraz przesyłania ich do chmury. Jak wykazała analiza złośliwego oprogramowania - potrafi ono wykradać pliki, wykonywać zrzuty ekranu, przejmować dane uwierzytelniające oraz manipulować katalogami plików. 

Grupa APT37, znana pod wieloma nazwami, wcześniej została zidentyfikowana jako odpowiedzialna za operację phishingową przeprowadzoną na terenie Stanów Zjednoczonych. Kampania, której wykrycie ogłosił Microsoft na początku ubiegłego roku, skupiała się na rozsyłaniu wiadomości phishingowych, które przekierowywały ofiary na strony internetowe, gdzie użytkownicy proszeni byli o podanie nazwy użytkownika i hasła. Treść spreparowanych e-maili była dopracowana i sprawiała wrażenie wiarygodnych, co wzbudza zaufanie użytkowników.

image

 


Oferta sklepu Defence24

 

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24