Stark#Mule-Malware-Kampagne zielt auf Koreaner ab und nutzt Dokumente der US-Armee

Eine koreanischsprachige Malware-Kampagne namens Stark#Mule zielt auf Opfer ab, indem sie Rekrutierungsdokumente des US-Militärs als Lockmittel nutzt und dann Malware ausführt, die von legitimen, aber manipulierten koreanischen E-Commerce-Websites stammt.

Das Sicherheitsunternehmen Securonix entdeckte die Stark#Mule-Angriffskampagne, die es Bedrohungsakteuren angeblich ermöglicht, sich im normalen Website-Verkehr zu tarnen.

Die Kampagne zielt offenbar auf koreanischsprachige Opfer in Südkorea ab, was darauf hindeutet, dass der Angriff möglicherweise aus dem benachbarten Nordkorea stammt.

Eine der angewandten Taktiken besteht darin, gezielte Phishing-E-Mails in koreanischer Sprache zu versenden, die legitim aussehende Dokumente mit Hinweisen auf die Rekrutierung der US-Armee und in einem ZIP-Archiv ablegen Personal- und Reserveangelegenheiten Ressourcen, die in den Dokumenten enthalten sind.

Die Angreifer haben ein komplexes System eingerichtet, das es ihnen ermöglicht, sich als legitime Website-Besucher auszugeben. Dadurch ist es schwierig zu erkennen, wann sie Schadsoftware übertragen und den Computer des Opfers übernehmen.

Sie verwenden auch betrügerische Materialien, die angeblich Informationen über die US-Armee und die Rekrutierung von Militärangehörigen bieten, ähnlich wie Honeypots.

Indem die Empfänger dazu verleitet werden, die Dokumente zu öffnen, wird der Virus unbeabsichtigt ausgeführt. In der letzten Phase handelt es sich um eine schwierige Infektion, die über HTTP kommuniziert und sich in den Computer des Opfers einnistet, was es schwierig macht, sie zu finden und zu entfernen.

„Es scheint, als hätten sie eine bestimmte Gruppe im Visier, was darauf hindeutet, dass die Bemühungen möglicherweise mit Nordkorea in Zusammenhang stehen, wobei der Schwerpunkt auf koreanischsprachigen Opfern liegt“, sagt Zac Warren, Chef-Sicherheitsberater für EMEA bei Tanium. „Dies erhöht die Möglichkeit staatlich geförderter Cyberangriffe oder Spionage.“

Möglicherweise hat Stark#Mule auch eine mögliche Zero-Day-Schwachstelle oder zumindest eine Variante einer bekannten Microsoft Office-Schwachstelle in die Finger bekommen, die es den Bedrohungsakteuren ermöglicht, auf dem Zielsystem Fuß zu fassen, indem sie einfach den Zielbenutzer dazu bringen, den Anhang zu öffnen.

Oleg Kolesnikov, Vizepräsident für Bedrohungsforschung und Cybersicherheit bei Securonix, sagt, dass aufgrund früherer Erfahrungen und einiger der aktuellen Indikatoren, die er gesehen hat, eine gute Chance besteht, dass die Bedrohung von Nordkorea ausgeht.

„Die Arbeit an der endgültigen Zuordnung ist jedoch noch im Gange“, sagt er. „Eines der Dinge, die es auszeichnen, sind Versuche, US-militärbezogene Dokumente zu nutzen, um Opfer anzulocken, sowie die Ausführung von Malware, die von legitimen, manipulierten koreanischen Websites stammt.“

Er fügt hinzu, dass Securonix den Grad der Komplexität der Angriffskette als mittelmäßig einschätzt und stellt fest, dass diese Angriffe mit früheren Aktivitäten typischer nordkoreanischer Gruppen wie … übereinstimmen APT37, wobei Südkorea und seine Regierungsbeamten die Hauptziele sind.

„Die anfängliche Methode zur Malware-Bereitstellung ist relativ trivial“, sagt er. „Die anschließend beobachteten Nutzlasten scheinen ziemlich einzigartig und relativ gut verschleiert zu sein.“

Laut Warren ist Stark#Mule aufgrund seiner fortschrittlichen Methodik, seiner raffinierten Strategien, seiner präzisen Zielausrichtung, der vermuteten staatlichen Beteiligung und der schwierigen Viruspersistenz „absolut bedeutsam“.

Erfolg durch Social Engineering

Mayuresh Dani, Manager für Bedrohungsforschung bei Qualys, weist darauf hin, dass die Umgehung von Systemkontrollen, die Umgehung durch Einmischung in den legitimen E-Commerce-Verkehr und die Erlangung der vollständigen Kontrolle über ein bestimmtes Ziel, ohne dabei unerkannt zu bleiben, diese Bedrohung bemerkenswert machen. 

„Social Engineering war schon immer das einfachste Ziel in einer Angriffskette. Wenn man politische Rivalität, die zu Neugier führt, mit diesem vermischt, hat man ein perfektes Rezept für Kompromisse“, sagt er.

Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, stimmt zu, dass ein erfolgreicher Social-Engineering-Angriff einen guten Haken erfordert.

„Hier scheint es dem Bedrohungsakteur gelungen zu sein, Themen zu schaffen, die interessant genug sind, damit ihre Ziele den Köder schlucken“, sagt er. „Es zeigt, wie gut der Angreifer sein Ziel kennt und was sein Interesse wecken könnte.“

Er fügt hinzu, dass Nordkorea eines von mehreren Ländern ist, von denen bekannt ist, dass sie die Grenzen zwischen Cyberkrieg, Cyberspionage und cyberkriminellen Aktivitäten verwischen.

„Angesichts der geopolitischen Situation sind Angriffe wie dieser eine Möglichkeit für sie, ihre politische Agenda voranzutreiben, ohne dass die ernsthafte Gefahr besteht, dass es zu einem echten Krieg eskaliert“, sagt Parkin. 

In einem geteilten Land tobt ein Cyberkrieg

Nordkorea und Südkorea liegen seit ihrer Trennung in der Vergangenheit im Streit – jede Information, die der anderen Seite die Oberhand verschafft, ist immer willkommen.

Derzeit verstärkt Nordkorea seine Offensive in der physischen Welt, indem es ballistische Raketen testet, und es versucht auch, dasselbe zu tun in der digitalen Welt.

„Auch wenn der Ursprung eines Angriffs relevant ist, sollten sich die Cybersicherheitsbemühungen auf die allgemeine Erkennung von Bedrohungen, die Reaktionsbereitschaft und die Implementierung von Best Practices zum Schutz vor einem breiten Spektrum potenzieller Bedrohungen konzentrieren, unabhängig von ihrer Quelle“, sagt Dani. 

Seiner Meinung nach wird das US-Militär mit seinen Partnerstaaten, darunter anderen Regierungsbehörden, internationalen Verbündeten und Organisationen des Privatsektors, zusammenarbeiten, um Bedrohungsinformationen im Zusammenhang mit Stark#Mule und mögliche Abhilfemaßnahmen auszutauschen.

„Dieser kollaborative Ansatz wird die gesamten Cybersicherheitsbemühungen stärken und ist von entscheidender Bedeutung für die Förderung der internationalen Zusammenarbeit im Bereich Cybersicherheit“, stellt er fest. „IT ermöglicht es anderen Ländern und Organisationen, ihre Abwehrmaßnahmen zu verbessern und sich auf potenzielle Angriffe vorzubereiten, was zu einer besser koordinierten globalen Reaktion auf Cyber-Bedrohungen führt.“

Die vom nordkoreanischen Staat geförderte Gruppe Lazarus Advanced Persistent Threat (APT) ist zurück noch ein weiterer IdentitätsbetrugDiesmal geben sie sich als Entwickler oder Personalvermittler mit legitimen GitHub- oder Social-Media-Konten aus.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents