UPOZORNENIE: Severokórejskí hackeri sa zameriavajú na Južnú Kóreu pomocou trójskeho koňa RokRat

Bola nájdená severokórejská hackerská skupina, ktorá rozmiestňuje Trójsky kôň RokRat v novej kampani typu spear-phishing zameranej na juhokórejskú vládu.

Pri pripisovaní útoku APT37 (aka Starcruft, Ricochet Chollima alebo Reaper) Malwarebytes uviedol, že vlani v decembri identifikoval škodlivý dokument, ktorý po otvorení spustí v pamäti makro na inštaláciu vyššie uvedeného nástroja pre vzdialený prístup (RAT).

“Súbor obsahuje vložené makro, ktoré používa techniku ​​samodekódovania VBA na dekódovanie v rámci pamäťových priestorov balíka Microsoft Office bez zapisovania na disk. Potom vloží variant RokRat do poznámkového bloku,” uviedli vedci v stredajšej analýze.

Reaper APT, o ktorom sa predpokladá, že je aktívny minimálne od roku 2012, je známy svojím zameraním na verejné a súkromné ​​subjekty predovšetkým v Južnej Kórei, ako sú chemické, elektronické, výrobné, letecké, automobilové a zdravotnícke subjekty. Odvtedy sa ich viktimológia rozšírila aj mimo Kórejského polostrova a zahŕňala Japonsko, Vietnam, Rusko, Nepál, Čínu, Indiu, Rumunsko, Kuvajt a ďalšie časti Blízkeho východu.

Zatiaľ čo predchádzajúce útoky využívali dokumenty Hangul Word Processor (HWP) s malvérom, použitie samodekódovacích súborov VBA Office na doručenie RokRat naznačuje zmenu taktiky pre APT37, uviedli vedci.

Dokument Microsoft VBA nahraný do VirusTotal v decembri mal byť žiadosťou o stretnutie z 23. januára 2020, z čoho vyplýva, že útoky sa odohrali takmer pred rokom.

Hlavnou zodpovednosťou makra vloženého do súboru je vloženie kódu shellu do procesu Notepad.exe, ktorý stiahne užitočné zaťaženie RokRat v zašifrovanom formáte z adresy URL Disku Google.

RokRat – prvýkrát verejne zdokumentovaný spoločnosťou Cisco Talos v roku 2017 – je preferovanou RAT pre APT37, pričom skupina ho používa na množstvo kampaní od roku 2016. A Windows-založené na zadných dvierkach distribuované prostredníctvom trojanizovaných dokumentov, je schopné zachytávať snímky obrazovky, zaznamenávať stlačenia klávesov, vyhýbať sa analýze pomocou detekcií antivirtuálnych strojov a využívať rozhrania API cloudového úložiska, ako sú Box, Dropbox a Yandex.

V roku 2019 získala cloudová služba RAT ďalšie funkcie na ukradnutie informácií o zariadeniach Bluetooth ako súčasť úsilia o zhromažďovanie spravodajských informácií namiereného proti investičným a obchodným spoločnostiam vo Vietname a Rusku a diplomatickej agentúre v Hongkongu.

„Prípad, ktorý sme analyzovali, je jedným z mála prípadov, v ktorých nepoužili súbory HWP ako svoje phish dokumenty a namiesto toho použili dokumenty balíka Microsoft Office vybavené makrom na automatické dekódovanie,“ uzavreli vedci. “Táto technika je šikovná voľba, ktorá dokáže obísť niekoľko statických detekčných mechanizmov a skryť hlavný zámer škodlivého dokumentu.”