Кампания вредоносного ПО на корейском языке, известная как Stark#Mule, нацелена на жертв, использующих документы о вербовке американских военных в качестве приманки, а затем запускает вредоносное ПО, инсценированное с законных, но скомпрометированных корейских веб-сайтов электронной коммерции.
Охранная фирма Securonix обнаружила кампанию атаки Stark#Mule, которая, по ее словам, позволяет злоумышленникам маскироваться среди обычного трафика веб-сайта.
Кампания, похоже, нацелена на говорящих по-корейски жертв в Южной Корее, что указывает на возможное происхождение атаки из соседней Северной Кореи.
Одной из используемых тактик является рассылка целевых фишинговых электронных писем, написанных на корейском языке, в которых в ZIP-архиве размещаются выглядящие законными документы со ссылками на вербовку в армию США и Трудовые ресурсы и резервы ресурсы, включенные в документы.
Злоумышленники создали сложную систему, которая позволяет им выдавать себя за законных посетителей веб-сайта, что затрудняет обнаружение, когда они передают вредоносное ПО и захватывают компьютер жертвы.
Они также используют вводящие в заблуждение материалы, которые претендуют на предоставление информации о армии США и вербовке в армию, подобно приманкам.
Заставляя получателей открывать документы, вирус непреднамеренно запускается. Последний этап представляет собой сложное заражение, которое передается через HTTP и внедряется в компьютер жертвы, что затрудняет его поиск и удаление.
«Похоже, что они нацелены на определенную группу, что намекает на то, что усилия могут быть связаны с Северной Кореей, с акцентом на говорящих на корейском языке жертв», — говорит Зак Уоррен, главный советник по безопасности в регионе EMEA в Tanium. «Это повышает вероятность спонсируемых государством кибератак или шпионажа».
Stark#Mule также мог присвоить себе возможную уязвимость нулевого дня или, по крайней мере, вариант известной уязвимости Microsoft Office, что позволило злоумышленникам закрепиться в целевой системе, просто попросив целевого пользователя открыть вложение.
Олег Колесников, вице-президент Securonix по исследованию угроз и кибербезопасности, говорит, что, исходя из предыдущего опыта и некоторых текущих индикаторов, которые он видел, существует большая вероятность того, что угроза исходит из Северной Кореи.
«Однако работа над окончательной атрибуцией все еще продолжается», — говорит он. «Одна из вещей, которая выделяет его, — это попытки использовать документы, связанные с вооруженными силами США, для заманивания жертв, а также запуск вредоносных программ с законных, скомпрометированных корейских веб-сайтов».
Он добавляет, что Securonix оценивает уровень сложности цепочки атак как средний, и отмечает, что эти атаки совпадают с прошлой деятельностью типичных северокорейских групп, таких как APT37, с Южной Кореей и ее правительственными чиновниками в качестве основных целей.
«Первоначальный метод развертывания вредоносного ПО относительно прост, — говорит он. «Последующие наблюдаемые полезные нагрузки кажутся довольно уникальными и относительно хорошо запутанными».
Уоррен говорит, что благодаря своей передовой методологии, хитрым стратегиям, точному нацеливанию, подозрению в причастности государства и сложной устойчивости вируса Stark#Mule «абсолютно важен».
Успех с помощью социальной инженерии
Маюреш Дани, менеджер по исследованию угроз в Qualys, отмечает, что обход системных средств управления, уклонение путем смешивания с законным трафиком электронной торговли и получение полного контроля над намеченной целью, оставаясь при этом незамеченным, — все это делает эту угрозу примечательной.
«Социальная инженерия всегда была самой легкой целью в цепочке атак. Когда к этому примешивается политическое соперничество, ведущее к любознательности, получается идеальный рецепт компромисса», — говорит он.
Майк Паркин, старший технический инженер Vulcan Cyber, согласен с тем, что для успешной атаки с помощью социальной инженерии требуется хорошая ловушка.
«Похоже, злоумышленнику удалось создать темы, которые достаточно интересны для того, чтобы их цели клюнули на приманку», — говорит он. «Это показывает, что злоумышленник знает свою цель и то, что может возбудить его интерес».
Он добавляет, что Северная Корея является одной из нескольких стран, которые, как известно, стирают границы между кибервойной, кибершпионажем и киберпреступной деятельностью.
«Учитывая геополитическую ситуацию, подобные атаки — это один из способов, которым они могут набрасываться для продвижения своей политической повестки дня, не подвергая себя серьезному риску перерасти в настоящую войну», — говорит Паркин.
Кибервойна бушует в разделенной стране
Северная Корея и Южная Корея исторически были в ссоре с момента их разделения — всегда приветствуется любая информация, которая дает другой стороне преимущество.
В настоящее время Северная Корея наращивает наступление в физическом мире, испытывая баллистические ракеты, и пытается сделать то же самое. в цифровом мире.
«Поэтому, хотя происхождение атаки имеет значение, усилия в области кибербезопасности должны быть сосредоточены на общем обнаружении угроз, готовности к реагированию и внедрении передовых методов защиты от широкого спектра потенциальных угроз, независимо от их источника», — говорит Дани.
По его мнению, военные США будут сотрудничать со своими государствами-партнерами, в том числе с другими государственными учреждениями, международными союзниками и организациями частного сектора, чтобы обмениваться информацией об угрозах, связанных со Stark#Mule, и возможными действиями по устранению последствий.
«Этот совместный подход укрепит общие усилия в области кибербезопасности и имеет решающее значение для развития международного сотрудничества в области кибербезопасности», — отмечает он. «ИТ позволяют другим странам и организациям усилить свою защиту и подготовиться к потенциальным атакам, что приведет к более скоординированному глобальному реагированию на киберугрозы».
Спонсируемая северокорейским государством группа продвинутых постоянных угроз (APT) Lazarus вернулась с очередная мошенническая схема, на этот раз выдавая себя за разработчиков или рекрутеров с законными учетными записями GitHub или социальных сетей.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents
- :имеет
- :является
- $UP
- 7
- a
- абсолютно
- Учетные записи
- Действие
- активно
- деятельность
- актеры
- фактического соединения
- Добавляет
- продвинутый
- советник
- Дела
- против
- агентствах
- повестка дня
- выравнивать
- Все
- Позволяющий
- позволяет
- причислены
- всегда
- Среди
- среди
- an
- и
- Другой
- любой
- появиться
- появляется
- подхода
- APT
- архив
- МЫ
- армия
- AS
- оценки;
- At
- атаковать
- нападки
- попытки
- назад
- приманка
- основанный
- BE
- было
- ЛУЧШЕЕ
- лучшие практики
- смешивание
- пятно
- но
- by
- Кампания
- CAN
- цепь
- сложные
- шанс
- главный
- сотрудничать
- совместный
- полный
- комплекс
- скомпрометированы
- Ослабленный
- компьютер
- контроль
- контрольная
- кооперация
- согласованный
- страны
- Создающий
- решающее значение
- Текущий
- кибер-
- кибератаки
- КИБЕРПРЕСТУПНИК
- Информационная безопасность
- развертывание
- обнаруживать
- обнаружение
- застройщиков
- трудный
- Интернет
- открытый
- Разделенный
- do
- Документация
- Падение
- два
- электронная коммерция
- Простейший
- электронной коммерции
- усилие
- усилия
- Писем
- в регионе EMEA
- акцент
- позволяет
- инженер
- Проект и
- повышать
- достаточно
- шпионаж
- уклонение
- выполненный
- опыт
- достаточно
- окончательный
- Найдите
- Фирма
- Фокус
- Что касается
- содействие
- от
- далее
- Gain
- получение
- геополитический
- GitHub
- данный
- дает
- Глобальный
- глобальный ответ
- хорошо
- Правительство
- Правительственные чиновники
- группы
- Группы
- рука
- Руки
- Есть
- имеющий
- he
- здесь
- подсказки
- исторически
- Однако
- HTTP
- HTTPS
- Осуществляющий
- in
- включены
- В том числе
- индикаторы
- информация
- начальный
- Интеллекта
- интерес
- интересный
- Мультиязычность
- в
- участие
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- знания
- известный
- Корея
- Корейский
- Фамилия
- Лазарь
- ведущий
- наименее
- законный
- уровень
- такое как
- Вероятно
- линий
- машина
- сделать
- ДЕЛАЕТ
- Создание
- вредоносных программ
- менеджер
- материалы
- Май..
- Медиа
- средний
- метод
- Методология
- Microsoft
- военный
- ракеты
- смешивать
- БОЛЕЕ
- много
- Наций
- "обычные"
- север
- Северная Корея
- Заметки
- Примечательно
- of
- предлагают
- Офис
- чиновников
- on
- ONE
- открытый
- открытие
- or
- организации
- происхождения
- Другое
- внешний
- за
- общий
- особый
- партнер
- pass
- мимо
- ИДЕАЛЬНОЕ
- настойчивость
- фишинг
- физический
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- политический
- возможность
- возможное
- потенциал
- практиками
- необходимость
- Подготовить
- президент
- первичный
- Предварительный
- частная
- частный сектор
- Прогресс
- для защиты
- повышения
- ассортимент
- Готовность
- рецепт
- наем
- набор
- Рекомендации
- Несмотря на
- Связанный
- относительно
- соответствующие
- удаление
- требуется
- исследованиям
- Резерв
- ответ
- Снижение
- соперничество
- Бег
- s
- Сказал
- говорит
- сектор
- безопасность
- кажется
- видел
- видит
- отправка
- старший
- серьезный
- набор
- несколько
- Поделиться
- должен
- Шоу
- сторона
- значительный
- с
- ситуация
- Соцсети
- Социальная инженерия
- социальные сети
- некоторые
- Источник
- Южная
- Южная Корея
- Этап
- стоять
- Область
- Области
- ступая
- По-прежнему
- стратегий
- УКРЕПЛЯТЬ
- последующее
- успешный
- такие
- система
- тактика
- взять
- цель
- целевое
- направлены
- направлена против
- Технический
- Тестирование
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- вещи
- этой
- угроза
- актеры угрозы
- угрозы
- Через
- время
- в
- трафик
- передавать
- типичный
- созданного
- us
- нам армия
- Американские военные
- использование
- используемый
- Информация о пользователе
- использования
- через
- Вариант
- вице
- вице-президент
- Жертва
- жертвы
- вирус
- посетителей
- Вулкан
- уязвимость
- кроличий садок
- Путь..
- Вебсайт
- веб-сайты
- добро пожаловать
- ЧТО Ж
- Что
- Что такое
- когда
- который
- в то время как
- широкий
- Широкий диапазон
- будете
- в
- без
- Работа
- Мир
- письменный
- Ты
- зефирнет
- ZIP