Stark#Mule-malwarecampagne richt zich op Koreanen, maakt gebruik van documenten van het Amerikaanse leger

Een Koreaanstalige malwarecampagne, bekend als Stark#Mule, richt zich op slachtoffers en gebruikt recruteringsdocumenten van het Amerikaanse leger als lokmiddel. Vervolgens wordt er malware uitgevoerd die afkomstig is van legitieme maar gecompromitteerde Koreaanse e-commercewebsites.

Beveiligingsbedrijf Securonix ontdekte de aanvalscampagne Stark#Mule, waarmee bedreigingsactoren zich kunnen vermommen te midden van normaal websiteverkeer.

De campagne lijkt zich te richten op Koreaanssprekende slachtoffers in Zuid-Korea, wat erop wijst dat de aanval mogelijk afkomstig is uit buurland Noord-Korea.

Een van de gebruikte tactieken is het versturen van gerichte phishing-e-mails die in het Koreaans zijn geschreven, waarbij legitiem ogende documenten in een zip-archief worden geplaatst met verwijzingen naar rekrutering door het Amerikaanse leger en Mankracht- en reservezaken bronnen die in de documenten zijn opgenomen.

De aanvallers hebben een complex systeem opgezet waarmee ze kunnen doorgaan voor legitieme websitebezoekers, waardoor het moeilijk wordt om te detecteren wanneer ze malware verzenden en de machine van het slachtoffer overnemen.

Ze maken ook gebruik van misleidend materiaal dat beweert informatie te bieden over de rekrutering van het Amerikaanse leger en het leger, net zoals honeypots.

Door de ontvangers te misleiden om de documenten te openen, wordt het virus onbedoeld uitgevoerd. In de laatste fase gaat het om een ​​moeilijke infectie die via HTTP communiceert en zich in de computer van het slachtoffer nestelt, waardoor het lastig is deze te vinden en te verwijderen.

“Het lijkt erop dat ze zich op een bepaalde groep richten, wat erop wijst dat de inspanningen mogelijk verband houden met Noord-Korea, met de nadruk op Koreaanssprekende slachtoffers”, zegt Zac Warren, hoofdveiligheidsadviseur EMEA bij Tanium. “Dit vergroot de mogelijkheid van door de staat gesponsorde cyberaanvallen of spionage.”

Stark#Mule heeft mogelijk ook een mogelijke zero-day of op zijn minst een variant van een bekende Microsoft Office-kwetsbaarheid in handen gekregen, waardoor de bedreigingsactoren voet aan de grond konden krijgen op het beoogde systeem door de beoogde gebruiker de bijlage te laten openen.

Oleg Kolesnikov, vice-president van dreigingsonderzoek, cybersecurity bij Securonix, zegt op basis van eerdere ervaringen en enkele van de huidige indicatoren die hij heeft gezien dat de kans groot is dat de dreiging afkomstig is uit Noord-Korea.

“Het werk aan de definitieve toeschrijving is echter nog in volle gang”, zegt hij. “Een van de dingen waardoor het opvalt, zijn pogingen om Amerikaanse militaire documenten te gebruiken om slachtoffers te lokken en om malware uit te voeren die is geënsceneerd vanaf legitieme, gecompromitteerde Koreaanse websites.”

Hij voegt eraan toe dat Securonix’ beoordeling van het niveau van verfijning van de aanvalsketen gemiddeld is en merkt op dat deze aanvallen aansluiten bij activiteiten uit het verleden van typische Noord-Koreaanse groepen zoals APT37, met Zuid-Korea en zijn regeringsfunctionarissen als voornaamste doelwitten.

“De initiële methode voor het inzetten van malware is relatief triviaal”, zegt hij. “De daaropvolgende waargenomen ladingen lijken tamelijk uniek en relatief goed vertroebeld.”

Warren zegt dat Stark#Mule vanwege zijn geavanceerde methodologie, sluwe strategieën, nauwkeurige targeting, vermoedelijke betrokkenheid van de staat en moeilijke viruspersistentie ‘absoluut belangrijk’ is.

Succes door social engineering

Mayuresh Dani, manager dreigingsonderzoek bij Qualys, wijst erop dat het omzeilen van systeemcontroles, het ontwijken door op te gaan in legitiem e-commerceverkeer en het verkrijgen van volledige controle over een geoormerkt doelwit, terwijl ze onopgemerkt blijven, allemaal deze dreiging opmerkelijk maken. 

“Social engineering is altijd het gemakkelijkste doelwit in een aanvalsketen geweest. Als je politieke rivaliteit die tot nieuwsgierigheid leidt, combineert, heb je een perfect recept voor compromissen”, zegt hij.

Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, is het ermee eens dat een succesvolle social engineering-aanval een goede insteek vereist.

“Hier lijkt het erop dat de bedreigingsacteur erin is geslaagd onderwerpen te creëren die interessant genoeg zijn om door hun doelwitten te worden gegrepen”, zegt hij. “Het toont de kennis van de aanvaller over zijn doelwit, en wat waarschijnlijk zijn interesse zal wekken.”

Hij voegt eraan toe dat Noord-Korea een van de vele landen is waarvan bekend is dat de grenzen tussen cyberoorlogvoering, cyberspionage en cybercriminele activiteiten vervagen.

“Gezien de geopolitieke situatie zijn aanvallen als deze een van de manieren waarop ze hun politieke agenda kunnen bevorderen zonder een serieus risico te lopen dat deze in daadwerkelijke oorlogvoering escaleert”, zegt Parkin. 

Er woedt een cyberoorlog in een verdeeld land

Noord-Korea en Zuid-Korea liggen sinds hun scheiding historisch gezien met elkaar in conflict; alle informatie die de andere kant de overhand geeft, is altijd welkom.

Momenteel voert Noord-Korea zijn aanval in de fysieke wereld op door ballistische raketten te testen, en het probeert ook hetzelfde te doen in de digitale wereld.

“Hoewel de oorsprong van een aanval relevant is, moeten cybersecurity-inspanningen zich daarom concentreren op de algehele detectie van bedreigingen, reactiebereidheid en het implementeren van best practices om bescherming te bieden tegen een breed scala aan potentiële bedreigingen, ongeacht hun bron”, zegt Dani. 

Zoals hij het ziet, zal het Amerikaanse leger samenwerken met zijn partnerstaten, inclusief andere overheidsinstanties, internationale bondgenoten en organisaties uit de particuliere sector, om informatie over dreigingen met betrekking tot Stark#Mule en mogelijke herstelmaatregelen te delen.

“Deze gezamenlijke aanpak zal de algehele inspanningen op het gebied van cyberbeveiliging versterken en is cruciaal voor het bevorderen van internationale samenwerking op het gebied van cyberbeveiliging”, merkt hij op. “IT stelt andere landen en organisaties in staat hun verdediging te verbeteren en zich voor te bereiden op mogelijke aanvallen, wat leidt tot een beter gecoördineerde mondiale reactie op cyberdreigingen.”

De door de Noord-Koreaanse staat gesteunde Lazarus Advanced Persistent Threat (APT)-groep is terug nog een andere imitatiezwendel, dit keer die zich voordeed als ontwikkelaars of recruiters met legitieme GitHub- of sociale media-accounts.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents