Вредоносная кампания Stark#Mule нацелена на корейцев и использует документы армии США

Кампания вредоносного ПО на корейском языке, известная как Stark#Mule, нацелена на жертв, использующих документы о вербовке американских военных в качестве приманки, а затем запускает вредоносное ПО, инсценированное с законных, но скомпрометированных корейских веб-сайтов электронной коммерции.

Охранная фирма Securonix обнаружила кампанию атаки Stark#Mule, которая, по ее словам, позволяет злоумышленникам маскироваться среди обычного трафика веб-сайта.

Кампания, похоже, нацелена на говорящих по-корейски жертв в Южной Корее, что указывает на возможное происхождение атаки из соседней Северной Кореи.

Одной из используемых тактик является рассылка целевых фишинговых электронных писем, написанных на корейском языке, в которых в ZIP-архиве размещаются выглядящие законными документы со ссылками на вербовку в армию США и Трудовые ресурсы и резервы ресурсы, включенные в документы.

Злоумышленники создали сложную систему, которая позволяет им выдавать себя за законных посетителей веб-сайта, что затрудняет обнаружение, когда они передают вредоносное ПО и захватывают компьютер жертвы.

Они также используют вводящие в заблуждение материалы, которые претендуют на предоставление информации о армии США и вербовке в армию, подобно приманкам.

Заставляя получателей открывать документы, вирус непреднамеренно запускается. Последний этап представляет собой сложное заражение, которое передается через HTTP и внедряется в компьютер жертвы, что затрудняет его поиск и удаление.

«Похоже, что они нацелены на определенную группу, что намекает на то, что усилия могут быть связаны с Северной Кореей, с акцентом на говорящих на корейском языке жертв», — говорит Зак Уоррен, главный советник по безопасности в регионе EMEA в Tanium. «Это повышает вероятность спонсируемых государством кибератак или шпионажа».

Stark#Mule также мог присвоить себе возможную уязвимость нулевого дня или, по крайней мере, вариант известной уязвимости Microsoft Office, что позволило злоумышленникам закрепиться в целевой системе, просто попросив целевого пользователя открыть вложение.

Олег Колесников, вице-президент Securonix по исследованию угроз и кибербезопасности, говорит, что, исходя из предыдущего опыта и некоторых текущих индикаторов, которые он видел, существует большая вероятность того, что угроза исходит из Северной Кореи.

«Однако работа над окончательной атрибуцией все еще продолжается», — говорит он. «Одна из вещей, которая выделяет его, — это попытки использовать документы, связанные с вооруженными силами США, для заманивания жертв, а также запуск вредоносных программ с законных, скомпрометированных корейских веб-сайтов».

Он добавляет, что Securonix оценивает уровень сложности цепочки атак как средний, и отмечает, что эти атаки совпадают с прошлой деятельностью типичных северокорейских групп, таких как APT37, с Южной Кореей и ее правительственными чиновниками в качестве основных целей.

«Первоначальный метод развертывания вредоносного ПО относительно прост, — говорит он. «Последующие наблюдаемые полезные нагрузки кажутся довольно уникальными и относительно хорошо запутанными».

Уоррен говорит, что благодаря своей передовой методологии, хитрым стратегиям, точному нацеливанию, подозрению в причастности государства и сложной устойчивости вируса Stark#Mule «абсолютно важен».

Успех с помощью социальной инженерии

Маюреш Дани, менеджер по исследованию угроз в Qualys, отмечает, что обход системных средств управления, уклонение путем смешивания с законным трафиком электронной торговли и получение полного контроля над намеченной целью, оставаясь при этом незамеченным, — все это делает эту угрозу примечательной. 

«Социальная инженерия всегда была самой легкой целью в цепочке атак. Когда к этому примешивается политическое соперничество, ведущее к любознательности, получается идеальный рецепт компромисса», — говорит он.

Майк Паркин, старший технический инженер Vulcan Cyber, согласен с тем, что для успешной атаки с помощью социальной инженерии требуется хорошая ловушка.

«Похоже, злоумышленнику удалось создать темы, которые достаточно интересны для того, чтобы их цели клюнули на приманку», — говорит он. «Это показывает, что злоумышленник знает свою цель и то, что может возбудить его интерес».

Он добавляет, что Северная Корея является одной из нескольких стран, которые, как известно, стирают границы между кибервойной, кибершпионажем и киберпреступной деятельностью.

«Учитывая геополитическую ситуацию, подобные атаки — это один из способов, которым они могут набрасываться для продвижения своей политической повестки дня, не подвергая себя серьезному риску перерасти в настоящую войну», — говорит Паркин. 

Кибервойна бушует в разделенной стране

Северная Корея и Южная Корея исторически были в ссоре с момента их разделения — всегда приветствуется любая информация, которая дает другой стороне преимущество.

В настоящее время Северная Корея наращивает наступление в физическом мире, испытывая баллистические ракеты, и пытается сделать то же самое. в цифровом мире.

«Поэтому, хотя происхождение атаки имеет значение, усилия в области кибербезопасности должны быть сосредоточены на общем обнаружении угроз, готовности к реагированию и внедрении передовых методов защиты от широкого спектра потенциальных угроз, независимо от их источника», — говорит Дани. 

По его мнению, военные США будут сотрудничать со своими государствами-партнерами, в том числе с другими государственными учреждениями, международными союзниками и организациями частного сектора, чтобы обмениваться информацией об угрозах, связанных со Stark#Mule, и возможными действиями по устранению последствий.

«Этот совместный подход укрепит общие усилия в области кибербезопасности и имеет решающее значение для развития международного сотрудничества в области кибербезопасности», — отмечает он. «ИТ позволяют другим странам и организациям усилить свою защиту и подготовиться к потенциальным атакам, что приведет к более скоординированному глобальному реагированию на киберугрозы».

Спонсируемая северокорейским государством группа продвинутых постоянных угроз (APT) Lazarus вернулась с очередная мошенническая схема, на этот раз выдавая себя за разработчиков или рекрутеров с законными учетными записями GitHub или социальных сетей.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents