Posté le juin 21, 2023 à 5:44
LES HACKERS DE SCARCRUFT DÉPLOIENT UN LOGICIEL MALVEILLANT DE VOL D’INFORMATIONS DOTÉ DE FONCTIONS D’ÉCOUTE ÉLECTRONIQUE
ScarCruft, un groupe d’acteurs de la menace basé en Corée du Nord, a été détecté en train d’utiliser un logiciel malveillant de vol d’informations pour mener des campagnes de hackers. Le logiciel malveillant déployé par le groupe d’acteurs de la menace contient des fonctions d’écoute électronique, notamment une porte dérobée créée avec Golang. Le groupe de hackers utilise ce logiciel malveillant pour mener des exploits de piratage sur la plateforme de messagerie en temps réel Ably.
ScarCruft utilise un logiciel malveillant de vol d’informations pour exploiter le service Ably
La campagne de piratage a été révélée dans un rapport technique publié par l’AhnLab Security Emergency Response Center (ASEC). Le rapport indique que l’acteur de la menace utilisait la porte dérobée Golang pour envoyer des commandes au service Ably. La valeur de la clé API nécessaire pour effectuer la communication des commandes se trouve sur un dépôt GitHub.
« Cette valeur de clé API est nécessaire pour communiquer avec le canal de l’acteur de la menace, de sorte que n’importe qui est capable de s’abonner s’il connaît cette valeur de clé. De ce fait, certaines des commandes utilisées par l’acteur de la menace au moment de l’analyse ont pu être identifiées », indique le rapport de l’ASEC.
ScarCruft est un groupe d’acteurs de la menace basé en Corée du Nord. Ce groupe d’acteurs de la menace parrainé par l’État a déjà été associé au ministère Nord-Coréen de la sécurité de l’État (MSS). Ce groupe de hackers est resté actif depuis 2012 environ.
Ce groupe de hackers a mené des chaînes d’attaques à l’encontre du service de messagerie Ably. Les chaînes d’attaques qui ont été lancées tournent autour de campagnes de spear-phishing qui délivreront RokRAT. Ce groupe d’acteurs de la menace a également utilisé une variété d’autres outils personnalisés. Ces outils ont été utilisés pour collecter des informations sensibles sur les cibles.
La dernière intrusion découverte par les chercheurs de l’ASEC date de mai 2023. L’e-mail envoyé par les hackers contient un fichier Microsoft Compiled HTML Help (.CHM). Ce fichier est une tactique qui a été initialement signalée en mars de cette année. Chaque fois qu’un utilisateur clique sur le lien de ce fichier, il contacte un serveur distant et lui permet de télécharger un logiciel malveillant PowerShell.
Le logiciel malveillant PowerShell téléchargé par le serveur distant est connu sous le nom de Chinotto. Le logiciel malveillant PowerShell Chinotto est associé au lancement d’attaques persistantes, à la récupération de charges utiles supplémentaires et à une porte dérobée portant le nom de code AblyGo ou SidLevel selon Kaspersky.
Les charges utiles supplémentaires abuseront en outre du service API d’Ably pour une fonction de commande et de contrôle. La porte dérobée AblyGo est aussi utilisée comme plateforme d’exécution d’un logiciel malveillant voleur d’informations connu sous le nom de FadeStealer.
Le logiciel malveillant FadeStealer contient par ailleurs un large éventail de fonctionnalités. Le logiciel malveillant peut être utilisé pour exécuter des fonctions telles que la capture de captures d’écran, la collecte de données à partir de smartphones, de supports amovibles, l’enregistrement du microphone, et même l’enregistrement des frappes de clavier.
Le rapport de l’ASEC indique en outre que ScarCruft, également connu sous le nom de groupe hackers RedEyes, mène des campagnes de piratage ciblant certaines personnes. La cible de cette campagne de piratage comprend des réfugiés Nord-Coréens, des militants des droits de l’homme et des professeurs d’université. L’objectif principal de ces exploits de piratage est de voler des informations aux cibles.
L’acteur de la menace semble en outre mener des campagnes de piratage ciblant la Corée du Sud. Le groupe de hackers procède à des écoutes non autorisées en Corée du Sud, ce qui est considéré comme une violation de la vie privée, et c’est un domaine qui est strictement réglementé par les lois en vigueur. L’acteur de la menace a également surveillé les activités des victimes sur leurs PC et a même procédé à des écoutes téléphoniques pour voler des données.
Les fichiers CHM sont exploités par d’autres hackers Nord-Coréens
Les fichiers CHM ont également été utilisés par d’autres groupes de hackers également basés en Corée du Nord, notamment Kimsuky. Un rapport de SentinelOne a par ailleurs révélé une récente campagne de piratage qui a exploité le format de fichier pour lancer un outil de reconnaissance connu sous le nom de RandomQuery.
Dans la nouvelle série de campagnes de piratage détectées par les chercheurs de l’ASEC, les fichiers CHM ont été configurés de manière à déposer un fichier BAT. Ce fichier est ensuite utilisé pour télécharger le logiciel malveillant suivant, après quoi les informations de l’utilisateur sont exfiltrées de l’hôte compromis.
Les campagnes de spear-phishing sont classées comme technique d’accès initial préférée par le groupe de hackers Kimsuky depuis plus de dix ans. Cette campagne de spear-phishing est généralement précédée d’intenses recherches et d’une préparation minutieuse. Les agences de renseignement des États-Unis et de la Corée du Sud ont révélé cette activité de piratage.
Les conclusions du groupe de hackers interviennent aussi après l’exploitation active des failles par le groupe de hackers Lazarus. Ce groupe de hackers a activement exploité les vulnérabilités de sécurité qui existent dans des logiciels tels que MagicLine4NX, INISAFE CrossWeb EX, VestCert et TCO!Stream.
