A Stark#Mule malware-kampány koreaiakat céloz, és az Egyesült Államok hadseregének dokumentumait használja fel

A Stark#Mule néven ismert koreai nyelvű rosszindulatú programkampány olyan áldozatokat céloz meg, akik amerikai katonai toborzási dokumentumokat csalogatnak, majd legitim, de kompromittált koreai e-kereskedelmi webhelyekről származó kártevőket futtatnak.

A Securonix biztonsági cég felfedezte a Stark#Mule támadási kampányt, amely szerinte lehetővé teszi a fenyegetés szereplői számára, hogy álcázzák magukat a normál webhelyforgalom közepette.

Úgy tűnik, hogy a kampány koreaiul beszélő dél-koreai áldozatokat céloz meg, jelezve, hogy a támadás a szomszédos Észak-Koreából származhat.

Az egyik alkalmazott taktika a célzott, koreai nyelvű adathalász e-mailek küldése, amelyek törvényesnek tűnő dokumentumokat dobnak egy zip archívumba, utalva az amerikai hadsereg toborzására és Munkaerő és tartalék ügyek a dokumentumokban szereplő forrásokat.

A támadók egy összetett rendszert állítottak fel, amely lehetővé teszi számukra, hogy átadják a jogos webhelylátogatókat, így nehéz észlelni, amikor rosszindulatú programokat továbbítanak, és átveszik az áldozat gépét.

Olyan megtévesztő anyagokat is alkalmaznak, amelyek az Egyesült Államok hadseregéről és katonai toborzásáról akarnak információt nyújtani, hasonlóan a mézesedényekhez.

Azáltal, hogy a vevőket ráveszik a dokumentumok megnyitására, a vírus akaratlanul is végrehajtódik. Az utolsó szakasz egy nehéz fertőzés, amely HTTP-n keresztül kommunikál, és beágyazódik az áldozat számítógépébe, így nehéz megtalálni és eltávolítani.

„Úgy tűnik, hogy egy bizonyos csoportot céloznak meg, ami arra utal, hogy az erőfeszítés Észak-Koreához köthető, különös tekintettel a koreaiul beszélő áldozatokra” – mondja Zac Warren, a Tanium EMEA fő biztonsági tanácsadója. "Ez felveti az államilag támogatott kibertámadások vagy kémkedés lehetőségét."

A Stark#Mule is rátette a kezét egy lehetséges nulladik napra, vagy legalábbis egy ismert Microsoft Office sebezhetőség egy változatára, ami lehetővé tette a fenyegetés szereplői számára, hogy megvegyék a lábukat a megcélzott rendszeren, pusztán azzal, hogy a megcélzott felhasználó megnyitja a mellékletet.

Oleg Kolesnikov, a Securonix fenyegetéskutatásért és kiberbiztonságért felelős alelnöke szerint a korábbi tapasztalatok és néhány általa látott jelenlegi mutató alapján jó esély van arra, hogy a fenyegetés Észak-Koreából származik.

„A végső hozzárendeléssel kapcsolatos munka azonban még folyamatban van” – mondja. "Az egyik dolog, ami kiemeli, az az, hogy amerikai katonai vonatkozású dokumentumokat próbálnak meg csalogatni az áldozatok számára, valamint olyan rosszindulatú programokat futtatnak, amelyeket legitim, feltört koreai webhelyekről hoztak létre."

Hozzáteszi, hogy a Securonix megítélése a támadási lánc kifinomultságáról közepes, és megjegyzi, hogy ezek a támadások összhangban vannak az olyan tipikus észak-koreai csoportok múltbeli tevékenységeivel, mint pl. APT37Dél-Korea és kormánytisztviselői az elsődleges célpontok.

„A rosszindulatú programok kezdeti telepítési módszere viszonylag triviális” – mondja. „A későbbiekben megfigyelt hasznos terhek meglehetősen egyedinek és viszonylag jól elmosódottnak tűnnek.”

Warren szerint fejlett módszertana, ravasz stratégiái, pontos célzása, feltételezett állami szerepvállalása és nehéz vírusperzisztenciája miatt a Stark#Mule „abszolút jelentőségteljes”.

Siker a szociális tervezésen keresztül

Mayuresh Dani, a Qualys fenyegetéskutatásért felelős menedzsere rámutat, hogy a rendszervezérlések megkerülése, a törvényes e-kereskedelmi forgalomba keveredő kijátszás, valamint a kijelölt célpont feletti teljes irányítás megszerzése – miközben észrevétlen marad – mindez figyelemre méltóvá teszi ezt a fenyegetést. 

„A társadalmi tervezés mindig is a legkönnyebb célpont volt a támadási láncban. Ha belekevered a kíváncsisághoz vezető politikai rivalizálást, akkor tökéletes receptet kapsz a kompromisszumhoz” – mondja.

Mike Parkin, a Vulcan Cyber ​​vezető műszaki mérnöke egyetért azzal, hogy egy sikeres social engineering támadáshoz jó horogra van szükség.

„Itt úgy tűnik, a fenyegetőzőnek sikerült olyan témákat létrehoznia, amelyek elég érdekesek ahhoz, hogy célpontjaik elkapják a csalit” – mondja. "Megmutatja, hogy a támadó ismeri a célpontját, és mi az, ami felkelti az érdeklődését."

Hozzáteszi, Észak-Korea egyike azon nemzeteknek, amelyekről ismert, hogy elmossák a határokat a kiberhadviselés, a kiberkémkedés és a kiberbűnözői tevékenység között.

„Tekintettel a geopolitikai helyzetre, az ehhez hasonló támadások az egyik módja annak, hogy politikai programjaik előmozdítását célozzák anélkül, hogy fennállna annak komoly kockázata, hogy az tényleges háborúvá fajul” – mondja Parkin. 

Kiberháború tombol egy megosztott országban

Észak-Korea és Dél-Korea történelmileg vitatkoztak szétválásuk óta – minden olyan információ, amely a másik oldalt előnyben részesíti, mindig szívesen látott.

Jelenleg Észak-Korea ballisztikus rakéták tesztelésével fokozza a fizikai világ támadását, és ugyanezt igyekszik tenni a digitális világban.

„Mint ilyen, bár a támadás eredete lényeges, a kiberbiztonsági erőfeszítéseknek az általános fenyegetésészlelésre, a válaszkészségre és a bevált gyakorlatok megvalósítására kell összpontosítaniuk a potenciális fenyegetések széles köre elleni védelem érdekében, függetlenül azok forrásától” – mondja Dani. 

Úgy látja, hogy az amerikai hadsereg együttműködik partnerállamaival, beleértve más kormányzati szerveket, nemzetközi szövetségeseket és magánszektorbeli szervezeteket, hogy megosszák a Stark#Mule-hoz kapcsolódó fenyegetésekkel kapcsolatos hírszerzési információkat és a lehetséges kárelhárítási intézkedéseket.

„Ez az együttműködésen alapuló megközelítés megerősíti az általános kiberbiztonsági erőfeszítéseket, és kulcsfontosságú a nemzetközi kiberbiztonsági együttműködés előmozdításához” – jegyzi meg. „Az IT lehetővé teszi más országok és szervezetek számára, hogy fokozzák védelmüket és felkészüljenek a potenciális támadásokra, ami összehangoltabb globális választ ad a kiberfenyegetésekre.”

Az észak-koreai állam által támogatott Lazarus Advanced Persistent Fenyegetés (APT) csoport visszatért újabb megszemélyesítési átverés, ezúttal fejlesztőnek vagy toborzónak adta ki magát legitim GitHub- vagy közösségimédia-fiókkal.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents