Kampania złośliwego oprogramowania Stark#Mule jest skierowana do Koreańczyków i wykorzystuje dokumenty armii amerykańskiej

Koreańska kampania złośliwego oprogramowania, znana jako Stark#Mule, atakuje ofiary za pomocą dokumentów rekrutacyjnych armii amerykańskiej jako przynęty, a następnie uruchamia złośliwe oprogramowanie z legalnych, ale zainfekowanych koreańskich witryn handlu elektronicznego.

Firma ochroniarska Securonix odkryła kampanię ataków Stark#Mule, która, jak twierdzi, umożliwia cyberprzestępcom ukrywanie się w normalnym ruchu na stronie internetowej.

Wydaje się, że kampania jest skierowana do ofiar mówiących po koreańsku w Korei Południowej, co wskazuje na możliwe źródło ataku z sąsiedniej Korei Północnej.

Jedną z stosowanych taktyk jest wysyłanie ukierunkowanych e-maili phishingowych napisanych w języku koreańskim, które umieszczają w archiwum ZIP wyglądające na legalne dokumenty z odniesieniami do rekrutacji armii amerykańskiej i Sprawy siły roboczej i rezerw zasoby zawarte w dokumentach.

Atakujący stworzyli złożony system, który pozwala im uchodzić za legalnych odwiedzających witrynę, co utrudnia wykrycie, kiedy przesyłają złośliwe oprogramowanie i przejmują komputer ofiary.

Używają również oszukańczych materiałów, które rzekomo oferują informacje na temat armii amerykańskiej i rekrutacji do wojska, podobnie jak honeypoty.

Nakłaniając odbiorców do otwarcia dokumentów, wirus jest nieumyślnie uruchamiany. Ostatni etap obejmuje trudną infekcję, która komunikuje się za pośrednictwem protokołu HTTP i osadza się w komputerze ofiary, co utrudnia jej znalezienie i usunięcie.

„Wygląda na to, że ich celem jest określona grupa, co sugeruje, że wysiłek może być związany z Koreą Północną, z naciskiem na ofiary mówiące po koreańsku” — mówi Zac Warren, główny doradca ds. bezpieczeństwa w regionie EMEA w firmie Tanium. „Stwarza to możliwość sponsorowanych przez państwo cyberataków lub szpiegostwa”.

Stark#Mule mógł również położyć ręce na potencjalną lukę dnia zerowego lub przynajmniej wariant znanej luki w pakiecie Microsoft Office, umożliwiając cyberprzestępcom zdobycie przyczółka w docelowym systemie, po prostu otwierając załącznik.

Oleg Kolesnikow, wiceprezes ds. badań nad zagrożeniami i cyberbezpieczeństwem w firmie Securonix, mówi, że na podstawie wcześniejszych doświadczeń i niektórych aktualnych wskaźników, które widział, istnieje duże prawdopodobieństwo, że zagrożenie pochodzi z Korei Północnej.

„Jednak prace nad ostateczną atrybucją wciąż trwają” – mówi. „Jedną z rzeczy, które go wyróżniają, są próby wykorzystania dokumentów związanych z wojskiem USA w celu zwabienia ofiar, a także uruchamianie złośliwego oprogramowania z legalnych, zainfekowanych koreańskich stron internetowych”.

Dodaje, że ocena Securonix dotycząca poziomu wyrafinowania łańcucha ataków jest średnia i zauważa, że ​​ataki te są zgodne z wcześniejszymi działaniami typowych grup północnokoreańskich, takich jak APT37, z Koreą Południową i jej urzędnikami rządowymi jako głównymi celami.

„Początkowa metoda wdrażania złośliwego oprogramowania jest stosunkowo prosta” — mówi. „Kolejne obserwowane ładunki wydają się być dość unikalne i stosunkowo dobrze zaciemnione”.

Warren mówi, że ze względu na zaawansowaną metodologię, przebiegłe strategie, precyzyjne celowanie, podejrzewany udział państwa i trudną trwałość wirusa, Stark#Mule jest „absolutnie znaczący”.

Sukces dzięki inżynierii społecznej

Mayuresh Dani, kierownik ds. badań nad zagrożeniami w firmie Qualys, wskazuje, że omijanie kontroli systemowych, unikanie ataków poprzez wtapianie się w legalny ruch e-commerce oraz przejęcie pełnej kontroli nad wyznaczonym celem, pozostając jednocześnie niewykrytym, sprawiają, że to zagrożenie jest godne uwagi. 

„Inżynieria społeczna zawsze była najłatwiejszym celem w łańcuchu ataków. Kiedy dodamy do tego rywalizację polityczną prowadzącą do dociekliwości, mamy idealną receptę na kompromis – mówi.

Mike Parkin, starszy inżynier techniczny w Vulcan Cyber, zgadza się, że udany atak socjotechniczny wymaga dobrego haka.

„Wygląda na to, że cyberprzestępcy udało się stworzyć tematy, które są na tyle interesujące, że ich cele mogą połknąć przynętę” — mówi. „Pokazuje wiedzę atakującego na temat jego celu i tego, co może wzbudzić jego zainteresowanie”.

Dodaje, że Korea Północna jest jednym z kilku krajów, o których wiadomo, że zacierają granice między cyberwojną, cyberszpiegostwem i działalnością cyberprzestępczą.

„Biorąc pod uwagę sytuację geopolityczną, ataki takie jak ten są jednym ze sposobów, w jaki mogą atakować, aby realizować swój program polityczny bez poważnego ryzyka przekształcenia się w rzeczywistą wojnę”, mówi Parkin. 

Cyberwojna szaleje w podzielonym kraju

Korea Północna i Korea Południowa historycznie kłóciły się od czasu ich separacji — wszelkie informacje, które dają drugiej stronie przewagę, są zawsze mile widziane.

Obecnie Korea Północna zwiększa ofensywę w świecie fizycznym, testując pociski balistyczne, a także próbuje zrobić to samo w cyfrowym świecie.

„W związku z tym, chociaż źródło ataku jest istotne, wysiłki w zakresie cyberbezpieczeństwa powinny koncentrować się na ogólnym wykrywaniu zagrożeń, gotowości do reagowania i wdrażaniu najlepszych praktyk w celu ochrony przed szeroką gamą potencjalnych zagrożeń, niezależnie od ich źródła” — mówi Dani. 

Jego zdaniem wojsko USA będzie współpracować z państwami partnerskimi, w tym innymi agencjami rządowymi, międzynarodowymi sojusznikami i organizacjami sektora prywatnego, aby dzielić się informacjami o zagrożeniach związanych ze Stark#Mule i możliwymi działaniami naprawczymi.

„To oparte na współpracy podejście wzmocni ogólne wysiłki w zakresie bezpieczeństwa cybernetycznego i ma kluczowe znaczenie dla wspierania międzynarodowej współpracy w zakresie cyberbezpieczeństwa” — zauważa. „IT umożliwia innym krajom i organizacjom wzmocnienie ich obrony i przygotowanie się na potencjalne ataki, prowadząc do bardziej skoordynowanej globalnej reakcji na cyberzagrożenia”.

Sponsorowana przez państwo północnokoreańska grupa Lazarus zajmująca się zaawansowanymi trwałymi zagrożeniami (APT) powraca kolejne oszustwo polegające na podszywaniu się pod inne osoby, tym razem udając programistów lub rekruterów z legalnymi kontami GitHub lub w mediach społecznościowych.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents