Stark#Mule マルウェア キャンペーンは韓国人をターゲット、米軍文書を使用

Stark#Mule マルウェア キャンペーンは韓国人をターゲット、米軍文書を使用

タイムスタンプ:28年2023月4日30:XNUMX
Stark#Mule マルウェア キャンペーンは韓国人をターゲットに、米軍文書 PlatoBlockchain データ インテリジェンスを使用。垂直検索。あい。

Stark#Mule として知られる韓国語のマルウェア キャンペーンは、米軍の新兵募集文書をおとりとして被害者をターゲットにし、正規ではあるが侵害された韓国の電子商取引 Web サイトからマルウェアを実行します。

セキュリティ企業 Securonix は、Stark#Mule 攻撃キャンペーンを発見しました。これにより、攻撃者は通常の Web サイトのトラフィックの中で自分自身を偽装することが可能になると述べています。

このキャンペーンは韓国国内の韓国語を話す被害者をターゲットにしているようで、隣国北朝鮮からの攻撃の可能性を示唆している。

使用される戦術の XNUMX つは、韓国語で書かれた標的型フィッシングメールを送信することであり、これにより、米軍の新兵募集および 人員および予備費に関する事項 ドキュメント内に含まれるリソース。

攻撃者は、正規の Web サイト訪問者をすり抜ける複雑なシステムをセットアップしているため、マルウェアを送信して被害者のマシンを乗っ取るときの検出が困難になっています。

また、ハニーポットと同様に、米軍および軍の新兵募集に関する情報を提供すると称する欺瞞的な資料も使用しています。

受信者をだまして文書を開かせることで、意図せずウイルスが実行されてしまいます。 最後の段階では、HTTP を介して通信し、被害者のコンピュータに自身を埋め込む困難な感染が関与するため、見つけて削除することが困難になります。

「彼らは特定のグループをターゲットにしているようで、韓国語を話す被害者に重点を置き、この取り組みが北朝鮮に関連している可能性があることを示唆している」とタニウムのEMEA首席安全保障顧問ザック・ウォーレン氏は言う。 「これにより、国家支援によるサイバー攻撃やスパイ活動の可能性が高まります。」

Stark#Mule はまた、ゼロデイの可能性のある脆弱性、または既知の Microsoft Office の脆弱性の少なくとも亜種を手に入れた可能性があり、これにより、標的のユーザーが添付ファイルを開かせるだけで、攻撃者が標的のシステムへの足がかりを得ることができます。

Securonix社サイバーセキュリティ脅威調査担当バイスプレジデントのオレグ・コレスニコフ氏は、これまでの経験とこれまでに見てきた現在の指標のいくつかに基づいて、脅威が北朝鮮から発生している可能性が高いと述べた。

「ただし、最終的な帰属に関する作業はまだ進行中です」と彼は言う。 「この事件を際立たせている点の XNUMX つは、被害者をおびき寄せるために米軍関連の文書を使用しようとする試みと、侵害された韓国の正規 Web サイトからステージングされたマルウェアを実行しようとする試みです。」

同氏は、攻撃チェーンの洗練度についてのSecuronixの評価は中程度であると付け加え、これらの攻撃は、次のような典型的な北朝鮮グループの過去の活動と一致していると指摘した。 APT37、韓国とその政府関係者が主な標的となっている。

「最初のマルウェア展開方法は比較的簡単です」と彼は言います。 「その後に観察されたペイロードはかなりユニークで、比較的難読化されているようです。」

ウォーレン氏は、その高度な方法論、狡猾な戦略、正確な標的設定、国家関与の疑い、そして困難なウイルスの持続性により、Stark#Muleは「絶対的に重要」であると述べた。

ソーシャルエンジニアリングによる成功

Qualys の脅威調査マネージャーの Mayuresh Dani 氏は、システム制御のバイパス、正規の e コマース トラフィックに紛れて回避すること、そして検出されずに指定されたターゲットを完全に制御することすべてが、この脅威を注目すべきものにしていると指摘しています。 

「ソーシャル エンジニアリングは、攻撃チェーンの中で常に最も簡単なターゲットでした。 これに探究心につながる政治的対立を組み合わせると、完璧な妥協のレシピが得られます」と彼は言います。

Vulcan Cyber​​ 社のシニア テクニカル エンジニアである Mike Parkin 氏は、ソーシャル エンジニアリング攻撃を成功させるには優れたフックが必要であることに同意します。

「ここでは、脅威アクターは、ターゲットが餌を取るのに十分興味深い対象を作成することに成功しているようです」と彼は言います。 「これは、攻撃者のターゲットに関する知識と、何が彼らの興味をそそると思われるかを示します。」

同氏は、北朝鮮は、サイバー戦争、サイバースパイ活動、サイバー犯罪活動の境界があいまいであることで知られるいくつかの国のうちのXNUMXつであると付け加えた。

「地政学的な状況を考慮すると、このような攻撃は、実際の戦争に発展する深刻な危険を冒すことなく、彼らが政治的目的を推進するために激しく攻撃できる手段の一つです」とパーキン氏は言う。 

分断された国でサイバー戦争が激化

北朝鮮と韓国は、分離以来歴史的に対立してきた。相手側に有利な情報は常に歓迎される。

現在、北朝鮮は弾道ミサイル実験により物理世界での攻撃を強化しており、同様のことを試みている。 デジタルの世界で.

「そのため、攻撃の発信元は重要ですが、サイバーセキュリティへの取り組みは、全体的な脅威の検出、対応準備、発信元に関係なく、幅広い潜在的な脅威から保護するためのベスト プラクティスの実装に重点を置く必要があります」とダニ氏は言います。 

同氏の見方では、米軍は他の政府機関、国際同盟国、民間組織を含むパートナー国と協力して、スターク・ミュールに関連する脅威インテリジェンスと考えられる修復措置を共有することになるだろう。

「この協力的なアプローチは、サイバーセキュリティへの取り組み全体を強化し、サイバーセキュリティにおける国際協力を促進するために重要です」と彼は指摘します。 「IT により、他の国や組織は防御を強化し、潜在的な攻撃に備えることができ、サイバー脅威に対する世界規模でのより連携した対応が可能になります。」

北朝鮮国家支援の Lazarus Advanced Persistent Threat (APT) グループが戻ってきた またまたなりすまし詐欺、今回は正規の GitHub またはソーシャル メディア アカウントを持つ開発者または採用担当者を装います。

タイムスタンプ:

より多くの 暗い読書