En koreansk-sproget malware-kampagne kendt som Stark#Mule er rettet mod ofre, der bruger amerikanske militære rekrutteringsdokumenter som lokkemidler og kører derefter malware iscenesat fra legitime, men kompromitterede koreanske e-handelswebsteder.
Sikkerhedsfirmaet Securonix opdagede Stark#Mule-angrebskampagnen, som den sagde tillader trusselsaktører at skjule sig selv midt i normal hjemmesidetrafik.
Kampagnen ser ud til at være rettet mod koreansktalende ofre i Sydkorea, hvilket indikerer en mulig angrebsoprindelse fra nabolandet Nordkorea.
En af de anvendte taktikker er at sende målrettede phishing-e-mails skrevet på koreansk, som smider legitime dokumenter i et zip-arkiv med referencer til rekruttering af den amerikanske hær og Manpower & Reserve Affairs ressourcer inkluderet i dokumenterne.
Angriberne har oprettet et komplekst system, der gør det muligt for dem at passere for legitime besøgende på webstedet, hvilket gør det svært at opdage, hvornår de transmitterer malware og overtager ofrets maskine.
De bruger også vildledende materialer, der foregiver at tilbyde information om den amerikanske hær og militær rekruttering, ligesom honningpotter.
Ved at narre modtagerne til at åbne dokumenterne, bliver virussen utilsigtet henrettet. Den sidste fase involverer en vanskelig infektion, der kommunikerer gennem HTTP og indlejrer sig i offerets computer, hvilket gør det udfordrende at finde og fjerne.
"Det ser ud til, at de er rettet mod en bestemt gruppe, hvilket antyder, at indsatsen kan være relateret til Nordkorea, med vægt på koreansktalende ofre," siger Zac Warren, chefsikkerhedsrådgiver, EMEA, hos Tanium. "Dette rejser muligheden for statssponsorerede cyberangreb eller spionage."
Stark#Mule kan også have lagt hænderne på en mulig nuldag eller i det mindste en variant af en kendt Microsoft Office-sårbarhed, hvilket giver trusselsaktørerne mulighed for at få fodfæste på det målrettede system blot ved at få den målrettede bruger til at åbne den vedhæftede fil.
Oleg Kolesnikov, vicepræsident for trusselsforskning, cybersikkerhed for Securonix, siger på baggrund af tidligere erfaringer og nogle af de aktuelle indikatorer, han har set, at der er en god chance for, at truslen stammer fra Nordkorea.
"Arbejdet med den endelige tilskrivning er dog stadig i gang," siger han. "En af de ting, der får det til at skille sig ud, er forsøg på at bruge amerikanske militærrelaterede dokumenter til at lokke ofre, samt at køre malware iscenesat fra legitime, kompromitterede koreanske websteder."
Han tilføjer, at Securonix' vurdering af niveauet af sofistikering af angrebskæden er middel og bemærker, at disse angreb stemmer overens med tidligere aktiviteter af typiske nordkoreanske grupper som f.eks. APT37, med Sydkorea og dets regeringsembedsmænd som de primære mål.
"Den indledende malware-implementeringsmetode er relativt triviel," siger han. "De efterfølgende observerede nyttelaster ser ud til at være ret unikke og relativt godt uklare."
Warren siger på grund af sin avancerede metodologi, snedige strategier, præcise målretning, formodede statsinvolvering og vanskelige viruspersistens, Stark#Mule er "absolut betydningsfuld."
Succes gennem Social Engineering
Mayuresh Dani, leder af trusselsforskning hos Qualys, påpeger at omgå systemkontroller, unddragelse ved at blande sig med legitim e-handelstrafik og at få fuldstændig kontrol over et øremærket mål, alt imens man forbliver uopdaget, alt dette gør denne trussel bemærkelsesværdig.
"Social engineering har altid været det nemmeste mål i en angrebskæde. Når man blander politisk rivalisering, der fører til nysgerrighed, til dette, har man en perfekt opskrift på kompromis,” siger han.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, er enig i, at et vellykket socialt ingeniørangreb kræver en god hook.
"Her ser det ud til, at trusselsaktøren har haft held med at skabe motiver, der er interessante nok til, at deres mål kan tage lokket," siger han. "Det viser angriberens viden om deres mål, og hvad der sandsynligvis vil vække deres interesse."
Han tilføjer, at Nordkorea er en af flere nationer, der er kendt for at udviske grænserne mellem cyberkrigsførelse, cyberspionage og cyberkriminel aktivitet.
"I betragtning af den geopolitiske situation er angreb som dette en måde, de kan kaste sig ud på for at fremme deres politiske dagsorden uden at have en alvorlig risiko for, at det eskalerer til egentlig krigsførelse," siger Parkin.
En cyberkrig raser i et splittet land
Nordkorea og Sydkorea har historisk set været i strid siden deres adskillelse - enhver information, der giver den anden side en overhånd, er altid velkommen.
I øjeblikket optrapper Nordkorea offensiven i den fysiske verden ved at teste ballistiske missiler, og det forsøger også at gøre det samme i den digitale verden.
"Som sådan, mens oprindelsen af et angreb er relevant, bør cybersikkerhedsindsatsen fokusere på overordnet trusselsdetektion, responsberedskab og implementering af bedste praksis for at beskytte mod en lang række potentielle trusler, uanset deres kilde," siger Dani.
Som han ser det, vil det amerikanske militær samarbejde med dets partnerstater, herunder andre regeringsorganer, internationale allierede og organisationer i den private sektor, for at dele trusselsefterretninger relateret til Stark#Mule og mulige afhjælpningsforanstaltninger.
"Denne samarbejdstilgang vil styrke den samlede cybersikkerhedsindsats og er afgørende for at fremme internationalt samarbejde inden for cybersikkerhed," bemærker han. "IT gør det muligt for andre lande og organisationer at forbedre deres forsvar og forberede sig på potentielle angreb, hvilket fører til en mere koordineret global reaktion på cybertrusler."
Den nordkoreanske statssponserede Lazarus Advanced Persistent Thrus (APT) gruppe er tilbage med endnu en efterligningsfidus, denne gang poserer som udviklere eller rekrutterere med legitime GitHub- eller sociale medier-konti.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents
- :har
- :er
- $OP
- 7
- a
- absolut
- Konti
- Handling
- aktiviteter
- aktivitet
- aktører
- faktiske
- Tilføjer
- fremskreden
- rådgiver
- Anliggender
- mod
- agenturer
- dagsorden
- tilpasse
- Alle
- tillade
- tillader
- også
- altid
- Midt
- blandt
- an
- ,
- En anden
- enhver
- vises
- kommer til syne
- tilgang
- APT
- Arkiv
- ER
- Army
- AS
- vurdering
- At
- angribe
- Angreb
- Forsøg på
- tilbage
- lokkemad
- baseret
- BE
- været
- BEDSTE
- bedste praksis
- blanding
- sløring
- men
- by
- Kampagne
- CAN
- kæde
- udfordrende
- chance
- chef
- samarbejde
- kollaborativ
- fuldføre
- komplekse
- kompromis
- Kompromitteret
- computer
- kontrol
- kontrol
- samarbejde
- koordineret
- lande
- Oprettelse af
- afgørende
- Nuværende
- Cyber
- cyberangreb
- CYBERKRIMINAL
- Cybersecurity
- implementering
- opdage
- Detektion
- udviklere
- svært
- digital
- opdaget
- Divided
- do
- dokumenter
- Drop
- grund
- e-handel
- nemmeste
- ecommerce
- indsats
- indsats
- emails
- EMEA
- vægt
- muliggør
- ingeniør
- Engineering
- forbedre
- nok
- spionage
- unddragelse
- henrettet
- erfaring
- retfærdigt
- endelige
- Finde
- Firm
- Fokus
- Til
- fremme
- fra
- yderligere
- Gevinst
- vinder
- geopolitiske
- GitHub
- given
- giver
- Global
- global reaktion
- godt
- Regering
- Embedsmænd
- gruppe
- Gruppens
- hånd
- hænder
- Have
- have
- he
- link.
- hints
- historisk
- Men
- http
- HTTPS
- gennemføre
- in
- medtaget
- Herunder
- Indikatorer
- oplysninger
- initial
- Intelligens
- interesse
- interessant
- internationalt
- ind
- involvering
- IT
- ITS
- selv
- jpg
- lige
- viden
- kendt
- korea
- koreansk
- Efternavn
- Lazarus
- førende
- mindst
- legitim
- Niveau
- ligesom
- Sandsynlig
- linjer
- maskine
- lave
- maerker
- Making
- malware
- leder
- materialer
- Kan..
- Medier
- medium
- metode
- Metode
- microsoft
- Militær
- missiler
- blande
- mere
- meget
- nationer
- normal
- Nord
- Nordkorea
- Noter
- bemærkelsesværdigt
- of
- tilbyde
- Office
- embedsmænd
- on
- ONE
- åbent
- åbning
- or
- organisationer
- oprindelse
- Andet
- ud
- i løbet af
- samlet
- særlig
- partner
- passerer
- forbi
- perfekt
- udholdenhed
- Phishing
- fysisk
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- politisk
- Muligheden
- mulig
- potentiale
- praksis
- brug
- Forbered
- præsident
- primære
- Forud
- private
- den private sektor
- Progress
- beskytte
- rejser
- rækkevidde
- Readiness
- opskrift
- rekruttering
- rekruttering
- referencer
- Uanset
- relaterede
- relativt
- relevant
- Fjern
- Kræver
- forskning
- Reserve
- svar
- Risiko
- rivalisering
- kører
- s
- Said
- siger
- sektor
- sikkerhed
- synes
- set
- Sees
- afsendelse
- senior
- alvorlig
- sæt
- flere
- Del
- bør
- Shows
- side
- signifikant
- siden
- Situationen
- Social
- Samfundsteknologi
- sociale medier
- nogle
- Kilde
- Syd
- Sydkorea
- Stage
- stå
- Tilstand
- Stater
- springbræt
- Stadig
- strategier
- Styrke
- efterfølgende
- vellykket
- sådan
- systemet
- taktik
- Tag
- mål
- målrettet
- rettet mod
- mål
- Teknisk
- Test
- at
- deres
- Them
- selv
- derefter
- Der.
- Disse
- de
- ting
- denne
- trussel
- trusselsaktører
- trusler
- Gennem
- tid
- til
- Trafik
- transmittere
- typisk
- enestående
- us
- os hær
- Amerikanske militær
- brug
- anvendte
- Bruger
- bruger
- ved brug af
- Variant
- vice
- Vice President
- Victim
- ofre
- virus
- besøgende
- Vulcan
- sårbarhed
- warren
- Vej..
- Hjemmeside
- websites
- velkommen
- GODT
- Hvad
- Hvad er
- hvornår
- som
- mens
- bred
- Bred rækkevidde
- vilje
- med
- inden for
- uden
- Arbejde
- world
- skriftlig
- Du
- zephyrnet
- Zip
