Η καμπάνια κακόβουλου λογισμικού Stark#Mule στοχεύει Κορεάτες, χρησιμοποιεί έγγραφα του αμερικανικού στρατού

Μια εκστρατεία κακόβουλου λογισμικού στην κορεατική γλώσσα, γνωστή ως Stark#Mule, στοχεύει θύματα που χρησιμοποιούν έγγραφα στρατολόγησης των ΗΠΑ ως δέλεαρ και στη συνέχεια εκτελούν κακόβουλο λογισμικό που οργανώνεται από νόμιμους αλλά παραβιασμένους κορεατικούς ιστότοπους ηλεκτρονικού εμπορίου.

Η εταιρεία ασφαλείας Securonix ανακάλυψε την εκστρατεία επίθεσης Stark#Mule, η οποία είπε ότι επιτρέπει στους παράγοντες απειλών να μεταμφιεστούν μέσα στην κανονική επισκεψιμότητα του ιστότοπου.

Η εκστρατεία φαίνεται να στοχεύει τα κορεάτικα θύματα στη Νότια Κορέα, υποδεικνύοντας μια πιθανή προέλευση επίθεσης από τη γειτονική Βόρεια Κορέα.

Μία από τις τακτικές που χρησιμοποιούνται είναι η αποστολή στοχευμένων μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing) γραμμένα στα κορεατικά, τα οποία ρίχνουν έγγραφα με νόμιμη εμφάνιση σε ένα αρχείο zip με αναφορές στη στρατολόγηση του αμερικανικού στρατού και Ανθρώπινο Δυναμικό & Υποθέσεις Αποθεμάτων πόρους που περιλαμβάνονται στα έγγραφα.

Οι εισβολείς έχουν δημιουργήσει ένα πολύπλοκο σύστημα που τους επιτρέπει να περάσουν για τους νόμιμους επισκέπτες του ιστότοπου, καθιστώντας δύσκολο τον εντοπισμό πότε μεταδίδουν κακόβουλο λογισμικό και καταλαμβάνουν το μηχάνημα του θύματος.

Χρησιμοποιούν επίσης παραπλανητικό υλικό που υποτίθεται ότι προσφέρουν πληροφορίες σχετικά με τον αμερικανικό στρατό και τη στρατολόγηση, όπως τα honeypot.

Παραπλανώντας τους δέκτες να ανοίξουν τα έγγραφα, ο ιός εκτελείται ακούσια. Το τελευταίο στάδιο περιλαμβάνει μια δύσκολη μόλυνση που επικοινωνεί μέσω HTTP και ενσωματώνεται στον υπολογιστή του θύματος, καθιστώντας δύσκολη την εύρεση και την αφαίρεσή του.

«Φαίνεται ότι στοχεύουν μια συγκεκριμένη ομάδα, η οποία υπονοεί ότι η προσπάθεια μπορεί να σχετίζεται με τη Βόρεια Κορέα, με έμφαση στα κορεάτικα θύματα», λέει ο Zac Warren, επικεφαλής σύμβουλος ασφαλείας, EMEA, στο Tanium. «Αυτό εγείρει την πιθανότητα κυβερνοεπιθέσεων ή κατασκοπείας που χρηματοδοτούνται από το κράτος».

Το Stark#Mule μπορεί επίσης να έχει βάλει τα χέρια του σε μια πιθανή μηδενική ημέρα ή τουλάχιστον μια παραλλαγή μιας γνωστής ευπάθειας του Microsoft Office, επιτρέποντας στους παράγοντες της απειλής να αποκτήσουν βάση στο στοχευμένο σύστημα απλώς βάζοντας τον στοχευόμενο χρήστη να ανοίξει το συνημμένο.

Ο Oleg Kolesnikov, αντιπρόεδρος έρευνας απειλών, κυβερνοασφάλειας για τη Securonix, λέει ότι με βάση την προηγούμενη εμπειρία και ορισμένους από τους τρέχοντες δείκτες που έχει δει, υπάρχει μεγάλη πιθανότητα η απειλή να προέρχεται από τη Βόρεια Κορέα.

"Ωστόσο, η εργασία για την τελική απόδοση είναι ακόμη σε εξέλιξη", λέει. «Ένα από τα πράγματα που το κάνουν να ξεχωρίζει είναι οι προσπάθειες χρήσης εγγράφων που σχετίζονται με τον στρατό των ΗΠΑ για να δελεάσουν θύματα, καθώς και η λειτουργία κακόβουλου λογισμικού που έχει σκηνοθετηθεί από νόμιμους, παραβιασμένους κορεατικούς ιστότοπους».

Προσθέτει ότι η αξιολόγηση της Securonix για το επίπεδο πολυπλοκότητας της αλυσίδας επιθέσεων είναι μέτρια και σημειώνει ότι αυτές οι επιθέσεις ευθυγραμμίζονται με προηγούμενες δραστηριότητες τυπικών βορειοκορεατικών ομάδων όπως APT37, με πρωταρχικούς στόχους τη Νότια Κορέα και τους κυβερνητικούς της αξιωματούχους.

«Η αρχική μέθοδος ανάπτυξης κακόβουλου λογισμικού είναι σχετικά ασήμαντη», λέει. "Τα επακόλουθα ωφέλιμα φορτία που παρατηρήθηκαν φαίνεται να είναι αρκετά μοναδικά και σχετικά καλά ασαφή."

Ο Warren λέει ότι λόγω της προηγμένης μεθοδολογίας, των πονηρών στρατηγικών, της ακριβούς στόχευσης, της ύποπτης κρατικής εμπλοκής και της δύσκολης επιμονής του ιού, το Stark#Mule είναι «απολύτως σημαντικό».

Επιτυχία μέσω της Κοινωνικής Μηχανικής

Ο Mayuresh Dani, διευθυντής έρευνας απειλών στην Qualys, επισημαίνει ότι η παράκαμψη των ελέγχων του συστήματος, η διαφυγή μέσω της ανάμειξης με τη νόμιμη κυκλοφορία ηλεκτρονικού εμπορίου και η απόκτηση πλήρους ελέγχου σε έναν δεσμευμένο στόχο, ενώ παραμένει απαρατήρητος, όλα κάνουν αυτή την απειλή αξιοσημείωτη. 

«Η κοινωνική μηχανική ήταν πάντα ο ευκολότερος στόχος σε μια αλυσίδα επίθεσης. Όταν αναμειγνύετε τον πολιτικό ανταγωνισμό που οδηγεί σε περιέργεια σε αυτό, έχετε μια τέλεια συνταγή για συμβιβασμό», λέει.

Ο Mike Parkin, ανώτερος τεχνικός μηχανικός στη Vulcan Cyber, συμφωνεί ότι μια επιτυχημένη επίθεση κοινωνικής μηχανικής απαιτεί καλό γάντζο.

«Εδώ, φαίνεται ότι ο ηθοποιός της απειλής έχει καταφέρει να δημιουργήσει θέματα που είναι αρκετά ενδιαφέροντα ώστε οι στόχοι τους να πάρουν το δόλωμα», λέει. «Δείχνει τη γνώση του επιθετικού για τον στόχο του και τι είναι πιθανό να κεντρίσει το ενδιαφέρον του».

Προσθέτει ότι η Βόρεια Κορέα είναι ένα από τα πολλά έθνη που είναι γνωστό ότι θολώνουν τα όρια μεταξύ του κυβερνοπολέμου, της κυβερνοκατασκοπείας και της κυβερνοεγκληματικής δραστηριότητας.

«Δεδομένης της γεωπολιτικής κατάστασης, επιθέσεις σαν αυτή είναι ένας τρόπος για να προωθήσουν την πολιτική τους ατζέντα χωρίς να υπάρχει σοβαρός κίνδυνος να κλιμακωθεί σε πραγματικό πόλεμο», λέει ο Πάρκιν. 

Ένας Κυβερνοπόλεμος Μαίνεται σε μια Διχασμένη Χώρα

Η Βόρεια Κορέα και η Νότια Κορέα ήταν ιστορικά σε διαμάχη από τον χωρισμό τους - κάθε πληροφορία που δίνει το πάνω χέρι στην άλλη πλευρά είναι πάντα ευπρόσδεκτη.

Επί του παρόντος, η Βόρεια Κορέα εντείνει την επίθεση στον φυσικό κόσμο δοκιμάζοντας βαλλιστικούς πυραύλους και προσπαθεί επίσης να κάνει το ίδιο στον ψηφιακό κόσμο.

«Ως εκ τούτου, ενώ η προέλευση μιας επίθεσης είναι σχετική, οι προσπάθειες για την ασφάλεια στον κυβερνοχώρο θα πρέπει να επικεντρωθούν στη συνολική ανίχνευση απειλών, την ετοιμότητα απόκρισης και την εφαρμογή βέλτιστων πρακτικών για την προστασία από ένα ευρύ φάσμα πιθανών απειλών, ανεξάρτητα από την πηγή τους», λέει ο Dani. 

Όπως το βλέπει, ο αμερικανικός στρατός θα συνεργαστεί με τα κράτη-εταίρους του, συμπεριλαμβανομένων άλλων κυβερνητικών υπηρεσιών, διεθνών συμμάχων και οργανισμών του ιδιωτικού τομέα, για να μοιραστεί πληροφορίες απειλών που σχετίζονται με το Stark#Mule και πιθανές ενέργειες αποκατάστασης.

«Αυτή η συλλογική προσέγγιση θα ενισχύσει τις συνολικές προσπάθειες για την ασφάλεια στον κυβερνοχώρο και είναι ζωτικής σημασίας για την προώθηση της διεθνούς συνεργασίας στον τομέα της κυβερνοασφάλειας», σημειώνει. «Το IT δίνει τη δυνατότητα σε άλλες χώρες και οργανισμούς να ενισχύσουν την άμυνά τους και να προετοιμαστούν για πιθανές επιθέσεις, οδηγώντας σε μια πιο συντονισμένη παγκόσμια απάντηση στις απειλές στον κυβερνοχώρο».

Η ομάδα προηγμένης επίμονης απειλής Lazarus (APT) που χρηματοδοτείται από το κράτος της Βόρειας Κορέας επιστρέφει με άλλη μια απάτη πλαστοπροσωπίας, αυτή τη φορά παρουσιάζονται ως προγραμματιστές ή υπεύθυνοι προσλήψεων με νόμιμους λογαριασμούς GitHub ή μέσων κοινωνικής δικτύωσης.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents