Кампанія зі зловмисним програмним забезпеченням Stark#Mule націлена на корейців, використовує документи армії США

Корейськомовна кампанія зловмисного програмного забезпечення, відома як Stark#Mule, націлена на жертв, які використовують як приманку документи про вербування в армію США, а потім запускають зловмисне програмне забезпечення, створене з законних, але скомпрометованих корейських веб-сайтів електронної комерції.

Охоронна компанія Securonix виявила атаку Stark#Mule, яка, за її словами, дозволяє загрозливим особам маскуватися серед звичайного трафіку веб-сайту.

Схоже, що кампанія націлена на корейськомовних жертв у Південній Кореї, що вказує на можливе походження нападу з сусідньої Північної Кореї.

Однією з використовуваних тактик є надсилання цільових фішингових електронних листів, написаних корейською мовою, у яких у zip-архіві розміщуються легітимні документи з посиланнями на вербування в армію США та Кадрові та резервні справи ресурси, включені в документи.

Зловмисники створили складну систему, яка дозволяє їм проходити за законних відвідувачів веб-сайту, що ускладнює виявлення, коли вони передають зловмисне програмне забезпечення та захоплюють машину жертви.

Вони також використовують оманливі матеріали, які нібито пропонують інформацію про армію США та вербування в армію, подібно до приманок.

Змусивши одержувачів відкрити документи, вірус ненавмисно запускається. Останній етап включає складне зараження, яке спілкується через HTTP та вбудовується в комп’ютер жертви, що ускладнює його пошук і видалення.

«Схоже, що вони націлені на певну групу, що натякає на те, що ці зусилля можуть бути пов’язані з Північною Кореєю, з наголосом на корейськомовних жертвах», — каже Зак Воррен, головний радник з питань безпеки Tanium у регіоні EMEA. «Це підвищує ймовірність фінансованих державою кібератак або шпигунства».

Stark#Mule також, можливо, наклав руку на можливу нульового дня або принаймні на варіант відомої вразливості Microsoft Office, дозволяючи суб’єктам загрози закріпитися на цільовій системі, просто попросивши цільового користувача відкрити вкладений файл.

Олег Колесніков, віце-президент Securonix із дослідження загроз і кібербезпеки, каже, що, виходячи з попереднього досвіду та деяких поточних індикаторів, які він бачив, існує велика ймовірність того, що загроза походить із Північної Кореї.

«Однак робота над остаточним визначенням авторства все ще триває», — каже він. «Однією з речей, яка виділяє його, є спроби використовувати військові документи США для заманювання жертв, а також запуск зловмисного програмного забезпечення, створеного з законних, скомпрометованих корейських веб-сайтів».

Він додає, що Securonix оцінює рівень складності ланцюжка атак середній і зазначає, що ці атаки узгоджуються з минулою діяльністю типових північнокорейських груп, таких як APT37, головними цілями яких є Південна Корея та її урядовці.

«Початковий метод розгортання зловмисного програмного забезпечення відносно тривіальний», — каже він. «Подальші спостережувані корисні навантаження видаються досить унікальними та відносно добре замаскованими».

Уоррен каже, що завдяки передовій методології, хитрим стратегіям, точному націлюванню, підозрюваній участі держави та складній стійкості вірусу Stark#Mule є «абсолютно важливим».

Успіх через соціальну інженерію

Маюреш Дані, менеджер із дослідження загроз у Qualys, зазначає, що обхід системного контролю, ухилення шляхом змішування з легальним трафіком електронної комерції та отримання повного контролю над визначеною ціллю, залишаючись непоміченим, все це робить цю загрозу особливою. 

«Соціальна інженерія завжди була найлегшою мішенню в ланцюжку атак. Коли ви змішуєте політичне суперництво, що призводить до допитливості до цього, у вас є ідеальний рецепт для компромісу», – каже він.

Майк Паркін, старший технічний інженер Vulcan Cyber, погоджується, що для успішної атаки соціальної інженерії потрібен хороший гачок.

«Тут, схоже, актору-загрозі вдалося створити об’єкти, які є достатньо цікавими, щоб їхні цілі могли зачепити наживку», – каже він. «Це показує знання зловмисника про свою ціль і про те, що може викликати його інтерес».

Він додає, що Північна Корея є однією з кількох країн, які, як відомо, стирають межі між кібервійною, кібершпигунством і кіберзлочинною діяльністю.

«Враховуючи геополітичну ситуацію, подібні атаки є одним із способів, за допомогою якого вони можуть накинутися на досягнення своєї політичної програми без серйозного ризику переростання її у справжню війну», — каже Паркін. 

Кібервійна вирує в розділеній країні

Північна Корея та Південна Корея історично ворогували з моменту їх роз’єднання — будь-яка інформація, яка дає перевагу іншій стороні, завжди вітається.

Зараз Північна Корея посилює наступ у фізичному світі, випробовуючи балістичні ракети, і вона також намагається зробити те саме. в цифровому світі.

«Таким чином, незважаючи на те, що походження атаки є релевантним, зусилля з кібербезпеки повинні бути зосереджені на загальному виявленні загроз, готовності до реагування та впровадженні найкращих практик для захисту від широкого спектру потенційних загроз, незалежно від їх джерела», — каже Дані. 

На його думку, американські військові співпрацюватимуть зі своїми державами-партнерами, включаючи інші урядові установи, міжнародних союзників та організації приватного сектора, щоб обмінюватися розвідувальною інформацією про загрози, пов’язані зі Stark#Mule, і можливими діями з усунення несправностей.

«Цей спільний підхід посилить загальні зусилля з кібербезпеки та має вирішальне значення для сприяння міжнародній співпраці у сфері кібербезпеки», — зазначає він. «ІТ дозволяють іншим країнам і організаціям посилити захист і підготуватися до потенційних атак, що призводить до більш скоординованої глобальної відповіді на кіберзагрози».

Спонсорована державою Північної Кореї група вдосконалених постійних загроз Lazarus (APT) повертається ще одне шахрайство з видаванням себе за іншу особу, цього разу видаючи себе за розробників або рекрутерів із законними обліковими записами GitHub або соціальних мереж.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents