En koreansk-språklig malware-kampanje kjent som Stark#Mule er rettet mot ofre som bruker amerikanske militære rekrutteringsdokumenter som lokker, og kjører deretter skadelig programvare iscenesatt fra legitime, men kompromitterte koreanske e-handelsnettsteder.
Sikkerhetsfirmaet Securonix oppdaget Stark#Mule-angrepskampanjen, som den sa tillater trusselaktører å skjule seg midt i normal nettstedtrafikk.
Kampanjen ser ut til å være rettet mot koreansktalende ofre i Sør-Korea, noe som indikerer et mulig angrepsopphav fra nabolandet Nord-Korea.
En av taktikkene som brukes er å sende målrettede phishing-e-poster skrevet på koreansk, som legger legitime dokumenter i et zip-arkiv med referanser til rekruttering av den amerikanske hæren og Manpower & Reserve Affairs ressurser inkludert i dokumentene.
Angriperne har satt opp et komplekst system som lar dem passere for legitime besøkende på nettstedet, noe som gjør det vanskelig å oppdage når de overfører skadelig programvare og tar over offerets maskin.
De bruker også villedende materiale som hevder å tilby informasjon om den amerikanske hæren og militær rekruttering, omtrent som honningpotter.
Ved å lure mottakerne til å åpne dokumentene, blir viruset utilsiktet henrettet. Det siste stadiet involverer en vanskelig infeksjon som kommuniserer gjennom HTTP og bygger seg inn i offerets datamaskin, noe som gjør det utfordrende å finne og fjerne.
"Det virker som de retter seg mot en bestemt gruppe, noe som antyder at innsatsen kan være relatert til Nord-Korea, med vekt på koreansktalende ofre," sier Zac Warren, sjefssikkerhetsrådgiver, EMEA, i Tanium. "Dette øker muligheten for statsstøttede nettangrep eller spionasje."
Stark#Mule kan også ha lagt hendene på en mulig nulldagers eller i det minste en variant av en kjent Microsoft Office-sårbarhet, slik at trusselaktørene kan få fotfeste på det målrettede systemet bare ved å la den målrettede brukeren åpne vedlegget.
Oleg Kolesnikov, visepresident for trusselforskning, cybersikkerhet for Securonix, sier basert på tidligere erfaring og noen av de nåværende indikatorene han har sett, er det en god sjanse for at trusselen stammer fra Nord-Korea.
"Arbeidet med endelig attribusjon pågår imidlertid fortsatt," sier han. "En av tingene som gjør det skiller seg ut er forsøk på å bruke amerikanske militærrelaterte dokumenter for å lokke ofre i tillegg til å kjøre skadevare iscenesatt fra legitime, kompromitterte koreanske nettsteder."
Han legger til at Securonix' vurdering av nivået av sofistikert angrepskjeden er middels og bemerker at disse angrepene stemmer overens med tidligere aktiviteter til typiske nordkoreanske grupper som APT37, med Sør-Korea og dets myndighetspersoner som de primære målene.
"Den første metoden for distribusjon av skadelig programvare er relativt triviell," sier han. "De påfølgende nyttelastene som ble observert ser ut til å være ganske unike og relativt godt uklare."
Warren sier på grunn av sin avanserte metodikk, utspekulerte strategier, presise målretting, mistenkt statlig involvering og vanskelig virusutholdenhet, Stark#Mule er "absolutt betydelig."
Suksess gjennom sosial ingeniørkunst
Mayuresh Dani, leder for trusselforskning hos Qualys, påpeker å omgå systemkontroller, unndragelse ved å blande seg inn med legitim e-handelstrafikk og å få full kontroll på et øremerket mål, samtidig som den forblir uoppdaget, alt dette gjør denne trusselen bemerkelsesverdig.
"Sosial ingeniørkunst har alltid vært det enkleste målet i en angrepskjede. Når du blander politisk rivalisering som fører til nysgjerrighet til dette, har du en perfekt oppskrift på kompromiss, sier han.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, er enig i at et vellykket sosialt ingeniørangrep krever en god krok.
"Her ser det ut til at trusselaktøren har lykkes med å skape motiver som er interessante nok til at målene deres kan ta agnet," sier han. "Det viser angriperens kunnskap om målet deres, og hva som sannsynligvis vil vekke interessen deres."
Han legger til at Nord-Korea er en av flere nasjoner som er kjent for å viske ut grensene mellom cyberkrigføring, cyberspionasje og cyberkriminell aktivitet.
"Gitt den geopolitiske situasjonen, er angrep som dette en måte de kan slå ut for å fremme sin politiske agenda uten å ha en alvorlig risiko for at det eskalerer til faktisk krigføring," sier Parkin.
En cyberkrig raser i et splittet land
Nord-Korea og Sør-Korea har historisk sett vært i konflikt siden deres separasjon - all informasjon som gir den andre siden overtaket er alltid velkommen.
For tiden trapper Nord-Korea opp offensiven i den fysiske verden ved å teste ballistiske missiler, og det prøver også å gjøre det samme i den digitale verden.
"Som sådan, mens opprinnelsen til et angrep er relevant, bør cybersikkerhetsarbeid fokusere på generell trusseldeteksjon, responsberedskap og implementering av beste praksis for å beskytte mot et bredt spekter av potensielle trusler, uavhengig av kilden deres," sier Dani.
Slik han ser det, vil det amerikanske militæret samarbeide med sine partnerstater, inkludert andre offentlige etater, internasjonale allierte og organisasjoner i privat sektor, for å dele trusseletterretning knyttet til Stark#Mule og mulige utbedringsaksjoner.
"Denne samarbeidstilnærmingen vil styrke den generelle cybersikkerhetsinnsatsen og er avgjørende for å fremme internasjonalt samarbeid innen cybersikkerhet," bemerker han. "IT gjør det mulig for andre land og organisasjoner å forbedre deres forsvar og forberede seg på potensielle angrep, noe som fører til en mer koordinert global respons på cybertrusler."
Den nordkoreanske statsstøttede Lazarus-gruppen for avansert vedvarende trussel (APT) er tilbake med enda et svindelforsøk, denne gangen poserer som utviklere eller rekrutterere med legitime GitHub- eller sosiale medier-kontoer.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents
- : har
- :er
- $OPP
- 7
- a
- absolutt
- kontoer
- Handling
- Aktiviteter
- aktivitet
- aktører
- faktiske
- Legger
- avansert
- rådgiver
- Affairs
- mot
- byråer
- agenda
- justere
- Alle
- tillate
- tillater
- også
- alltid
- Amid
- blant
- an
- og
- En annen
- noen
- vises
- vises
- tilnærming
- APT
- Arkiv
- ER
- Army
- AS
- evaluering
- At
- angripe
- Angrep
- forsøk
- tilbake
- agn
- basert
- BE
- vært
- BEST
- beste praksis
- blending
- uskarphet
- men
- by
- Kampanje
- CAN
- kjede
- utfordrende
- sjanse
- sjef
- samarbeide
- samarbeids
- fullføre
- komplekse
- kompromiss
- kompromittert
- datamaskin
- kontroll
- kontroller
- samarbeid
- koordinert
- land
- Opprette
- avgjørende
- Gjeldende
- cyber
- cyberattacks
- CYBERKRIMINELL
- Cybersecurity
- distribusjon
- oppdage
- Gjenkjenning
- utviklere
- vanskelig
- digitalt
- oppdaget
- Divided
- do
- dokumenter
- Drop
- to
- e-handel
- enkleste
- e-handel
- innsats
- innsats
- e-post
- EMEA
- vekt
- muliggjør
- ingeniør
- Ingeniørarbeid
- forbedre
- nok
- spionasje
- unnvikelse
- henrettet
- erfaring
- ganske
- slutt~~POS=TRUNC
- Finn
- Firm
- Fokus
- Til
- fostre
- fra
- videre
- Gevinst
- få
- geopolitiske
- GitHub
- gitt
- gir
- Global
- global respons
- god
- Regjeringen
- Embetsmenn
- Gruppe
- Gruppens
- hånd
- hender
- Ha
- å ha
- he
- her.
- hint
- historisk
- Men
- http
- HTTPS
- implementere
- in
- inkludert
- Inkludert
- indikatorer
- informasjon
- innledende
- Intelligens
- interesse
- interessant
- internasjonalt
- inn
- engasjement
- IT
- DET ER
- selv
- jpg
- bare
- kunnskap
- kjent
- korea
- Koreansk
- Siste
- Lazarus
- ledende
- minst
- legitim
- Nivå
- i likhet med
- Sannsynlig
- linjer
- maskin
- gjøre
- GJØR AT
- Making
- malware
- leder
- materialer
- Kan..
- Media
- medium
- metode
- metodikk
- Microsoft
- Militær
- raketter
- bland
- mer
- mye
- Nasjoner
- normal
- nord
- Nord-Korea
- Merknader
- bemerkelsesverdig
- of
- tilby
- Office
- tjenestemenn
- on
- ONE
- åpen
- åpning
- or
- organisasjoner
- opprinnelse
- Annen
- ut
- enn
- samlet
- Spesielt
- partner
- passere
- Past
- perfekt
- utholdenhet
- phishing
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- politisk
- mulighet
- mulig
- potensiell
- praksis
- presis
- Forbered
- president
- primære
- Før
- privat
- privat sektor
- Progress
- beskytte
- hever
- område
- Beredskap
- .
- rekruttering
- rekruttering
- referanser
- Uansett
- i slekt
- relativt
- relevant
- fjerne
- Krever
- forskning
- Reserve
- svar
- Risiko
- rivalisering
- rennende
- s
- Sa
- sier
- sektor
- sikkerhet
- synes
- sett
- Sees
- sending
- senior
- alvorlig
- sett
- flere
- Del
- bør
- Viser
- side
- signifikant
- siden
- situasjon
- selskap
- Sosialteknikk
- sosiale medier
- noen
- kilde
- Sør
- Sør-Korea
- Scene
- stå
- Tilstand
- Stater
- spring
- Still
- strategier
- Forsterke
- senere
- vellykket
- slik
- system
- taktikk
- Ta
- Target
- målrettet
- rettet mot
- mål
- Teknisk
- Testing
- Det
- De
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- de
- ting
- denne
- trussel
- trusselaktører
- trusler
- Gjennom
- tid
- til
- trafikk
- overføre
- typisk
- unik
- us
- oss hær
- Amerikansk militær
- bruke
- brukt
- Bruker
- bruker
- ved hjelp av
- variant
- vice
- Vice President
- Offer
- ofre
- virus
- besøkende
- vulcan
- sårbarhet
- warren
- Vei..
- Nettsted
- nettsteder
- velkommen
- VI VIL
- Hva
- Hva er
- når
- hvilken
- mens
- bred
- Bred rekkevidde
- vil
- med
- innenfor
- uten
- Arbeid
- verden
- skrevet
- Du
- zephyrnet
- Zip
