En koreanskspråkig skadlig kampanj känd som Stark#Mule riktar sig mot offer som använder amerikanska militära rekryteringsdokument som lockbete och kör sedan skadlig programvara iscensatt från legitima men äventyrade koreanska e-handelswebbplatser.
Säkerhetsföretaget Securonix upptäckte attackkampanjen Stark#Mule, som den sa tillåter hotaktörer att dölja sig bland normal webbplatstrafik.
Kampanjen verkar rikta sig mot koreansktalande offer i Sydkorea, vilket indikerar ett möjligt angrepp från grannlandet Nordkorea.
En av taktikerna som används är att skicka riktade nätfiske-e-postmeddelanden skrivna på koreanska, som släpper legitima dokument i ett zip-arkiv med referenser till rekrytering av den amerikanska armén och Manpower & Reserve Affairs resurser som ingår i dokumenten.
Angriparna har satt upp ett komplext system som låter dem passera för legitima webbplatsbesökare, vilket gör det svårt att upptäcka när de överför skadlig programvara och tar över offrets maskin.
De använder också vilseledande material som utger sig för att ge information om den amerikanska arméns och militära rekryteringen, ungefär som honungskrukor.
Genom att lura mottagarna att öppna dokumenten exekveras viruset oavsiktligt. Det sista steget innebär en svår infektion som kommunicerar via HTTP och bäddar in sig i offrets dator, vilket gör det svårt att hitta och ta bort.
"Det verkar som att de riktar sig mot en viss grupp, vilket antyder att insatsen kan vara relaterad till Nordkorea, med betoning på koreansktalande offer", säger Zac Warren, chefssäkerhetsrådgivare, EMEA, på Tanium. "Detta ökar möjligheten för statligt sponsrade cyberattacker eller spionage."
Stark#Mule kan också ha lagt händerna på en möjlig nolldagar eller åtminstone en variant av en känd Microsoft Office-sårbarhet, vilket gör att hotaktörerna kan få fotfäste på det riktade systemet bara genom att låta den riktade användaren öppna bilagan.
Oleg Kolesnikov, vice vd för hotforskning, cybersäkerhet för Securonix, säger att baserat på tidigare erfarenheter och några av de aktuella indikatorer han har sett, finns det en god chans att hotet kommer från Nordkorea.
"Arbetet med den slutliga tillskrivningen pågår dock fortfarande", säger han. "En av de saker som gör det sticker ut är försök att använda amerikanska militärrelaterade dokument för att locka offer samt att köra skadlig programvara iscensatt från legitima, komprometterade koreanska webbplatser."
Han tillägger att Securonix bedömning av graden av sofistikering av attackkedjan är medelhög och noterar att dessa attacker överensstämmer med tidigare aktiviteter av typiska nordkoreanska grupper som t.ex. APT37, med Sydkorea och dess regeringstjänstemän som primära mål.
"Den första metoden för distribution av skadlig programvara är relativt trivial", säger han. "De efterföljande nyttolaster som observerades verkar vara ganska unika och relativt väl förvirrade."
Warren säger att Stark#Mule är "absolut betydelsefull", tack vare sin avancerade metodik, listiga strategier, exakta inriktning, misstänkt statlig inblandning och svåra virusbeständighet.
Framgång genom social ingenjörskonst
Mayuresh Dani, chef för hotforskning på Qualys, påpekar att kringgå systemkontroller, undvikande genom att smälta in med legitim e-handelstrafik och att få fullständig kontroll över ett öronmärkt mål, samtidigt som det förblir oupptäckt, allt gör detta hot anmärkningsvärt.
"Social ingenjörskonst har alltid varit det enklaste målet i en attackkedja. När man blandar politisk rivalitet som leder till nyfikenhet till detta har man ett perfekt recept för kompromisser, säger han.
Mike Parkin, senior teknisk ingenjör på Vulcan Cyber, håller med om att en framgångsrik social ingenjörsattack kräver en bra hook.
"Här verkar det som om hotaktören har lyckats skapa ämnen som är tillräckligt intressanta för att deras mål ska kunna ta betet", säger han. "Det visar angriparens kunskap om sitt mål och vad som sannolikt kommer att väcka deras intresse."
Han tillägger att Nordkorea är en av flera nationer som är kända för att sudda ut gränserna mellan cyberkrigföring, cyberspionage och cyberkriminell aktivitet.
"Med tanke på den geopolitiska situationen är attacker som denna ett sätt de kan slå ut för att främja sin politiska agenda utan att ha en allvarlig risk att det eskalerar till faktisk krigföring", säger Parkin.
Ett cyberkrig rasar i ett splittrat land
Nordkorea och Sydkorea har historiskt sett varit i konflikt sedan de separerade - all information som ger den andra sidan ett övertag är alltid välkommen.
För närvarande ökar Nordkorea offensiven i den fysiska världen genom att testa ballistiska missiler, och det försöker också göra detsamma i den digitala världen.
"Som sådan, även om ursprunget till en attack är relevant, bör cybersäkerhetsinsatser fokusera på övergripande hotdetektering, responsberedskap och implementering av bästa praxis för att skydda mot ett brett spektrum av potentiella hot, oavsett deras källa", säger Dani.
Som han ser det kommer amerikansk militär att samarbeta med sina partnerstater, inklusive andra statliga myndigheter, internationella allierade och organisationer i den privata sektorn, för att dela hotunderrättelser relaterad till Stark#Mule och eventuella saneringsåtgärder.
"Denna samarbetsstrategi kommer att stärka övergripande cybersäkerhetsinsatser och är avgörande för att främja internationellt samarbete inom cybersäkerhet", konstaterar han. "IT gör det möjligt för andra länder och organisationer att förbättra sina försvar och förbereda sig för potentiella attacker, vilket leder till ett mer samordnat globalt svar på cyberhot."
Den nordkoreanska statssponsrade gruppen Lazarus avancerade persistent hot (APT) är tillbaka med ännu en bedrägeri med identitetsstöld, denna gång poserar som utvecklare eller rekryterare med legitima GitHub- eller sociala mediekonton.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents
- : har
- :är
- $UPP
- 7
- a
- absolut
- konton
- Handling
- aktiviteter
- aktivitet
- aktörer
- faktiska
- Lägger
- avancerat
- rådgivare
- Affairs
- mot
- byråer
- dagordning
- rikta
- Alla
- tillåta
- tillåter
- också
- alltid
- Mitt i
- bland
- an
- och
- Annan
- vilken som helst
- visas
- visas
- tillvägagångssätt
- APT
- arkiv
- ÄR
- Armé
- AS
- bedömning
- At
- attackera
- Attacker
- Försök
- tillbaka
- bete
- baserat
- BE
- varit
- BÄST
- bästa praxis
- blandning
- fläck
- men
- by
- Kampanj
- KAN
- kedja
- utmanande
- chans
- chef
- samarbeta
- samarbete
- fullborda
- komplex
- kompromiss
- Äventyras
- dator
- kontroll
- kontroller
- samarbete
- samordnas
- länder
- Skapa
- avgörande
- Aktuella
- cyber
- cyberattack
- IT-KRIMINELL
- Cybersäkerhet
- utplacering
- upptäcka
- Detektering
- utvecklare
- svårt
- digital
- upptäckt
- dividerat
- do
- dokument
- Drop
- grund
- e-handel
- enklaste
- e-handel
- ansträngning
- ansträngningar
- e
- EMEA
- vikt
- möjliggör
- ingenjör
- Teknik
- förbättra
- tillräckligt
- spionage
- skatteflykt
- exekveras
- erfarenhet
- ganska
- slutlig
- hitta
- Firm
- Fokus
- För
- främja
- från
- ytterligare
- Få
- få
- geopolitiska
- GitHub
- ges
- ger
- Välgörenhet
- globalt svar
- god
- Regeringen
- Regeringstjänstemän
- Grupp
- Gruppens
- sidan
- händer
- Har
- har
- he
- här.
- tips
- historiskt
- Men
- http
- HTTPS
- genomföra
- in
- ingår
- Inklusive
- indikatorer
- informationen
- inledande
- Intelligens
- intresse
- intressant
- Internationell
- in
- inblandning
- IT
- DESS
- sig
- jpg
- bara
- kunskap
- känd
- korea
- koreanska
- Efternamn
- Lazarus
- ledande
- t minst
- legitim
- Nivå
- tycka om
- sannolikt
- rader
- Maskinen
- göra
- GÖR
- Framställning
- malware
- chef
- material
- Maj..
- Media
- Medium
- metod
- Metodik
- Microsoft
- Militär
- missiler
- Blanda
- mer
- mycket
- nationer
- normala
- Nord
- Nordkorea
- Anmärkningar
- anmärkningsvärd
- of
- erbjudanden
- Office
- tjänstemän
- on
- ONE
- öppet
- öppning
- or
- organisationer
- ursprung
- Övriga
- ut
- över
- övergripande
- särskilt
- partnern
- passera
- Tidigare
- perfekt
- persistens
- Nätfiske
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- politiska
- Möjligheten
- möjlig
- potentiell
- praxis
- exakt
- Förbered
- VD
- primär
- Innan
- privat
- den privata sektorn
- Framsteg
- skydda
- höjer
- område
- Beredskap
- Receptet
- rekrytera
- rekrytering
- referenser
- Oavsett
- relaterad
- relativt
- relevanta
- ta bort
- Kräver
- forskning
- Reserv
- respons
- Risk
- rivalitet
- rinnande
- s
- Nämnda
- säger
- sektor
- säkerhet
- verkar
- sett
- ser
- skicka
- senior
- allvarlig
- in
- flera
- Dela
- skall
- Visar
- sida
- signifikant
- eftersom
- Situationen
- Social hållbarhet
- Samhällsteknik
- sociala medier
- några
- Källa
- Söder
- Sydkorea
- Etapp
- stå
- Ange
- Stater
- kliva
- Fortfarande
- strategier
- Stärka
- senare
- framgångsrik
- sådana
- system
- taktik
- Ta
- Målet
- riktade
- targeting
- mål
- Teknisk
- Testning
- den där
- Smakämnen
- deras
- Dem
- sig själva
- sedan
- Där.
- Dessa
- de
- saker
- detta
- hot
- hotaktörer
- hot
- Genom
- tid
- till
- trafik
- överföra
- typisk
- unika
- us
- oss armén
- Amerikanska militären
- användning
- Begagnade
- Användare
- användningar
- med hjälp av
- Variant
- vice
- Vice President
- Victim
- offer
- virus
- besökare
- vulcanus
- sårbarhet
- Warren
- Sätt..
- Webbplats
- webbsidor
- välkommen
- VÄL
- Vad
- Vad är
- när
- som
- medan
- bred
- Brett utbud
- kommer
- med
- inom
- utan
- Arbete
- världen
- skriven
- Om er
- zephyrnet
- Postnummer
