Campanha de malware Stark#Mule tem como alvo coreanos e usa documentos do Exército dos EUA

Uma campanha de malware em idioma coreano conhecida como Stark#Mule tem como alvo vítimas que usam documentos de recrutamento militar dos EUA como iscas e, em seguida, executam malware criado a partir de sites de comércio eletrônico coreanos legítimos, mas comprometidos.

A empresa de segurança Securonix descobriu a campanha de ataque Stark#Mule, que segundo ela permite que os agentes de ameaças se disfarcem em meio ao tráfego normal do site.

A campanha parece ter como alvo vítimas de língua coreana na Coreia do Sul, indicando uma possível origem do ataque na vizinha Coreia do Norte.

Uma das táticas utilizadas é o envio de e-mails de phishing direcionados escritos em coreano que colocam documentos aparentemente legítimos em um arquivo zip com referências ao recrutamento do Exército dos EUA e Recursos humanos e assuntos de reserva recursos incluídos nos documentos.

Os invasores montaram um sistema complexo que lhes permite passar por visitantes legítimos do site, dificultando a detecção quando eles transmitem malware e assumem o controle da máquina da vítima.

Eles também empregam materiais enganosos que pretendem oferecer informações sobre o Exército dos EUA e o recrutamento militar, de forma semelhante aos honeypots.

Ao enganar os destinatários para que abram os documentos, o vírus é executado involuntariamente. O último estágio envolve uma infecção difícil que se comunica através de HTTP e se incorpora ao computador da vítima, dificultando sua localização e remoção.

“Parece que têm como alvo um grupo específico, o que sugere que o esforço pode estar relacionado com a Coreia do Norte, com ênfase nas vítimas que falam coreano”, afirma Zac Warren, conselheiro-chefe de segurança, EMEA, na Tanium. “Isso levanta a possibilidade de ataques cibernéticos ou espionagem patrocinados pelo Estado.”

Stark#Mule também pode ter colocado as mãos em um possível dia zero ou pelo menos em uma variante de uma vulnerabilidade conhecida do Microsoft Office, permitindo que os atores da ameaça ganhassem uma posição no sistema alvo apenas fazendo com que o usuário alvo abrisse o anexo.

Oleg Kolesnikov, vice-presidente de pesquisa de ameaças e segurança cibernética da Securonix, diz que, com base na experiência anterior e em alguns dos indicadores atuais que viu, há uma boa chance de que a ameaça tenha origem na Coreia do Norte.

“No entanto, o trabalho de atribuição final ainda está em andamento”, afirma. “Uma das coisas que o destaca são as tentativas de usar documentos militares dos EUA para atrair vítimas, bem como executar malware proveniente de sites coreanos legítimos e comprometidos.”

Ele acrescenta que a avaliação da Securonix sobre o nível de sofisticação da cadeia de ataque é média e observa que estes ataques se alinham com atividades passadas de grupos norte-coreanos típicos como APT37, tendo a Coreia do Sul e os seus representantes governamentais como alvos principais.

“O método inicial de implantação de malware é relativamente trivial”, diz ele. “As cargas subsequentes observadas parecem ser bastante únicas e relativamente bem ofuscadas.”

Warren diz que devido à sua metodologia avançada, estratégias astutas, direcionamento preciso, suspeita de envolvimento do Estado e difícil persistência do vírus, Stark#Mule é “absolutamente significativo”.

Sucesso por meio da engenharia social

Mayuresh Dani, gerente de pesquisa de ameaças da Qualys, ressalta que contornar os controles do sistema, evadir-se misturando-se ao tráfego legítimo de comércio eletrônico e obter controle total sobre um alvo específico, permanecendo o tempo todo sem ser detectado, tudo isso torna essa ameaça digna de nota. 

“A engenharia social sempre foi o alvo mais fácil numa cadeia de ataque. Quando você mistura a isso a rivalidade política que leva à curiosidade, você tem uma receita perfeita para o compromisso”, diz ele.

Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, concorda que um ataque de engenharia social bem-sucedido requer um bom gancho.

“Aqui, parece que o ator da ameaça conseguiu criar assuntos que são interessantes o suficiente para que seus alvos mordam a isca”, diz ele. “Isso mostra o conhecimento do invasor sobre seu alvo e o que provavelmente despertará seu interesse.”

Ele acrescenta que a Coreia do Norte é uma das várias nações conhecidas por confundir os limites entre guerra cibernética, espionagem cibernética e atividade cibercriminosa.

“Dada a situação geopolítica, ataques como este são uma forma de atacarem para promover a sua agenda política sem correrem o sério risco de se transformarem numa guerra real”, diz Parkin. 

Uma guerra cibernética assola um país dividido

A Coreia do Norte e a Coreia do Sul têm estado historicamente em desacordo desde a sua separação – qualquer informação que dê vantagem ao outro lado é sempre bem-vinda.

Atualmente, a Coreia do Norte está a intensificar o ataque no mundo físico, testando mísseis balísticos, e também está a tentar fazer o mesmo. no mundo digital.

“Como tal, embora a origem de um ataque seja relevante, os esforços de segurança cibernética devem concentrar-se na deteção geral de ameaças, na prontidão de resposta e na implementação de melhores práticas para proteger contra uma vasta gama de ameaças potenciais, independentemente da sua origem”, afirma Dani. 

Na sua opinião, os militares dos EUA colaborarão com os seus estados parceiros, incluindo outras agências governamentais, aliados internacionais e organizações do setor privado, para partilhar informações sobre ameaças relacionadas com Stark#Mule e possíveis ações de remediação.

“Esta abordagem colaborativa fortalecerá os esforços gerais de segurança cibernética e é crucial para promover a cooperação internacional em segurança cibernética”, observa. “A TI permite que outros países e organizações melhorem as suas defesas e se preparem para potenciais ataques, levando a uma resposta global mais coordenada às ameaças cibernéticas.”

O grupo Lazarus de ameaça persistente avançada (APT), patrocinado pelo estado norte-coreano, está de volta com mais um golpe de personificação, desta vez se passando por desenvolvedores ou recrutadores com contas legítimas no GitHub ou em redes sociais.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents