Северокорейские хакеры похищают данные через MP3-файлы

Исследователи безопасности из ИБ-компании Check Point обнаружили , что северокорейская группировка ScarCruft использует LNK-файлы для доставки RAT-трояна RokRAT с июля 2022 года.

ScarCruft (APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes и Ricochet Chollima) представляет собой группу угроз, которая нацелена исключительно на южнокорейских физических и юридических лиц в рамках целевых фишинговых атак, предназначенных для доставки множества бэкдоров и проведения шпионажа.

Основной вредоносной программой группы является RokRAT (DOGCALL для Windows, CloudMensis для macOS, RambleOn для Android), это означает, что бэкдор активно разрабатывается и поддерживается. RokRAT и его варианты предназначены для выполнения широкого спектра действий, таких как:

  • кража учетных данных;
  • эксфильтрация данных;
  • захват снимков экрана;
  • сбор системной информации;
  • выполнение команд и шелл-кода;
  • управление файлами и каталогами.

Собранная информация, часть которой хранится в виде MP3-файлов (для маскировки), отправляется злоумышленнику через облачные сервисы Dropbox, Microsoft OneDrive, pCloud и Yandex Cloud, в попытке выдать сообщения С2-серверу за легитимные.

Другие вредоносные программы, используемые группой, включают, помимо прочего, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin и M2RAT. Еще одна волна атак, наблюдавшаяся в ноябре 2022 года, использовала ZIP-архивы, содержащие LNK-файлы, для развертывания загрузчика Amadey с целью доставки дополнительных полезных нагрузок.

В Check Point заявили, что использование LNK-файла может инициировать такую же эффективную цепочку заражения простым двойным щелчком мыши, что является более надежным, чем эксплойты n-day или макросы Microsoft Office, которые требуют дополнительных щелчков для заражения.

Public Release.