Stark#Mule-haittaohjelmakampanja kohdistuu korealaisiin ja käyttää Yhdysvaltain armeijan asiakirjoja

Stark#Mule-nimellä tunnettu koreankielinen haittaohjelmakampanja kohdistuu uhreihin, jotka käyttävät Yhdysvaltain armeijan värväysasiakirjoja vieheinä ja käyttävät sitten laillisilta mutta vaarantuneina korealalaisilta verkkokauppasivustoilta ladattuja haittaohjelmia.

Tietoturvayritys Securonix löysi Stark#Mule-hyökkäyskampanjan, jonka se sanoi mahdollistavan uhkatekijöiden naamioitumisen normaalin verkkosivustoliikenteen keskellä.

Kampanja näyttää kohdistuvan koreaa puhuviin uhreihin Etelä-Koreassa, mikä viittaa mahdolliseen hyökkäykseen naapurista Pohjois-Koreasta.

Yksi käytetyistä taktiikoista on lähettää kohdistettuja koreaksi kirjoitettuja phishing-sähköposteja, jotka pudottavat aidon näköisiä asiakirjoja zip-arkistoon, jossa viitataan Yhdysvaltain armeijan rekrytointiin ja Työvoima- ja reserviasiat asiakirjoihin sisältyviä resursseja.

Hyökkääjät ovat perustaneet monimutkaisen järjestelmän, jonka avulla he voivat välittää sivuston laillisia vierailijoita, mikä tekee vaikeaksi havaita, milloin he välittävät haittaohjelmia ja valtaavat uhrin koneen.

He käyttävät myös petollisia materiaaleja, joiden tarkoituksena on tarjota tietoa Yhdysvaltain armeijasta ja sotilaiden värväämisestä, aivan kuten hunajaruukkuja.

Huijaamalla vastaanottajat avaamaan asiakirjat, virus suoritetaan tahattomasti. Viimeiseen vaiheeseen liittyy vaikea infektio, joka kommunikoi HTTP:n kautta ja upottaa itsensä uhrin tietokoneeseen, mikä tekee sen löytämisestä ja poistamisesta haastavaa.

"Näyttää siltä, ​​​​että he kohdistuvat tiettyyn ryhmään, mikä viittaa siihen, että ponnistelut voivat liittyä Pohjois-Koreaan, painottaen koreaa puhuvia uhreja", sanoo Zac Warren, Taniumin EMEA-alueen turvallisuusneuvonantaja. "Tämä lisää valtion tukemien kyberhyökkäysten tai vakoilun mahdollisuuden."

Stark#Mule on myös saattanut kiinnittää kätensä mahdolliseen nollapäivään tai ainakin muunnelmaan tunnetusta Microsoft Office -haavoittuvuudesta, jolloin uhkatekijät voivat saada jalansijaa kohteena olevassa järjestelmässä vain pyytämällä kohteena olevan käyttäjän avaamaan liite.

Securonixin uhkatutkimuksen kyberturvallisuuden varatoimitusjohtaja Oleg Kolesnikov sanoo aiempien kokemusten ja joidenkin hänen näkemiensä tämän hetkisten indikaattoreiden perusteella, että uhka on todennäköisesti peräisin Pohjois-Koreasta.

"Lopullinen attribuutiotyö on kuitenkin vielä kesken", hän sanoo. "Yksi asia, joka tekee siitä erottuvan, ovat yritykset käyttää Yhdysvaltain armeijaan liittyviä asiakirjoja uhrien houkuttelemiseen sekä laillisilta, vaarantuneille korealaisille verkkosivustoille ladattujen haittaohjelmien käyttö."

Hän lisää, että Securonixin arvio hyökkäysketjun kehittyneisyydestä on keskitasoa, ja toteaa, että nämä hyökkäykset ovat linjassa tyypillisten pohjoiskorealaisten ryhmien aiempien toimien kanssa. APT37Etelä-Korea ja sen hallituksen virkamiehet ovat ensisijaisia ​​kohteita.

"Alkuperäinen haittaohjelmien käyttöönottomenetelmä on suhteellisen triviaali", hän sanoo. "Myöhemmin havaitut hyötykuormat näyttävät olevan melko ainutlaatuisia ja suhteellisen hyvin hämärtyneitä."

Warren sanoo edistyneen metodologiansa, ovelien strategioidensa, tarkan kohdistamisen, epäillyn valtion osallisuuden ja vaikean viruksen pysyvyyden vuoksi, että Stark#Mule on "ehdottoman merkittävä".

Menestystä sosiaalisen tekniikan kautta

Mayuresh Dani, Qualysin uhkatutkimuksen johtaja, huomauttaa, että järjestelmän hallinnan ohittaminen, lailliseen verkkokauppaliikenteeseen sulautuminen ja täydellisen hallinnan saaminen kohdistettuun kohteeseen, samalla kun pysyt huomaamatta, tekevät tästä uhasta huomionarvoisen. 

”Sosiaalinen suunnittelu on aina ollut hyökkäysketjun helpoin kohde. Kun tähän sekoitetaan poliittista kilpailua, joka johtaa uteliaisuuteen, sinulla on täydellinen resepti kompromissiin”, hän sanoo.

Mike Parkin, Vulcan Cyberin vanhempi tekninen insinööri, on samaa mieltä siitä, että onnistunut sosiaalisen manipuloinnin hyökkäys vaatii hyvän koukun.

"Tässä näyttää siltä, ​​​​että uhkanäyttelijä on onnistunut luomaan aiheita, jotka ovat tarpeeksi mielenkiintoisia, jotta niiden kohteet tarttuvat syöttiin", hän sanoo. "Se osoittaa hyökkääjän tietämyksen kohteensa ja siitä, mikä todennäköisesti herättää hänen kiinnostuksensa."

Hän lisää, että Pohjois-Korea on yksi monista maista, joiden tiedetään hämärtävän kybersodan, kybervakoilun ja kyberrikollisen toiminnan rajat.

"Geopoliittisen tilanteen vuoksi tällaiset hyökkäykset ovat yksi tapa, jolla he voivat lyödä eteenpäin poliittista agendaansa ilman vakavaa riskiä, ​​että se kasvaa todelliseksi sodankäynniksi", Parkin sanoo. 

Kybersota raivoaa jakautuneessa maassa

Pohjois-Korea ja Etelä-Korea ovat historiallisesti olleet erimielisyyksiä erostaan ​​lähtien – kaikki tiedot, jotka antavat toiselle puolelle yliotteen, ovat aina tervetulleita.

Tällä hetkellä Pohjois-Korea lisää hyökkäyksiä fyysisessä maailmassa testaamalla ballistisia ohjuksia, ja se yrittää myös tehdä samoin. digitaalisessa maailmassa.

"Sellaisenaan vaikka hyökkäyksen alkuperä on olennainen, kyberturvallisuustoimien tulisi keskittyä yleiseen uhkien havaitsemiseen, reagointivalmiuteen ja parhaiden käytäntöjen toteuttamiseen suojatakseen monenlaisia ​​mahdollisia uhkia niiden lähteestä riippumatta", Dani sanoo. 

Hänen näkemyksessään Yhdysvaltain armeija tekee yhteistyötä kumppanivaltioidensa, mukaan lukien muiden valtion virastojen, kansainvälisten liittolaisten ja yksityisen sektorin organisaatioiden kanssa, jakaakseen Stark#Muleen ja mahdollisiin korjaustoimiin liittyvää uhkatietoa.

"Tämä yhteistyöllinen lähestymistapa vahvistaa yleisiä kyberturvallisuusponnisteluja ja on ratkaisevan tärkeä kansainvälisen kyberturvallisuusyhteistyön edistämisessä", hän huomauttaa. "IT antaa muille maille ja organisaatioille mahdollisuuden tehostaa puolustustaan ​​ja valmistautua mahdollisiin hyökkäyksiin, mikä johtaa koordinoidumpaan globaaliin reagointiin kyberuhkiin."

Pohjois-Korean valtion tukema Lazarus Advanced Persistent Federation (APT) -ryhmä on palannut jälleen yksi toisena henkilönä esiintymishuijaus, tällä kertaa esiintyy kehittäjinä tai rekrytoijina laillisilla GitHub- tai sosiaalisen median tileillä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents