Исследователи безопасности из ИБ-компании Check Point обнаружили , что северокорейская группировка ScarCruft использует LNK-файлы для доставки RAT-трояна RokRAT с июля 2022 года.
ScarCruft (APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes и Ricochet Chollima) представляет собой группу угроз, которая нацелена исключительно на южнокорейских физических и юридических лиц в рамках целевых фишинговых атак, предназначенных для доставки множества бэкдоров и проведения шпионажа.
Основной вредоносной программой группы является RokRAT (DOGCALL для Windows, CloudMensis для macOS, RambleOn для Android), это означает, что бэкдор активно разрабатывается и поддерживается. RokRAT и его варианты предназначены для выполнения широкого спектра действий, таких как:
- кража учетных данных;
- эксфильтрация данных;
- захват снимков экрана;
- сбор системной информации;
- выполнение команд и шелл-кода;
- управление файлами и каталогами.
Собранная информация, часть которой хранится в виде MP3-файлов (для маскировки), отправляется злоумышленнику через облачные сервисы Dropbox, Microsoft OneDrive, pCloud и Yandex Cloud, в попытке выдать сообщения С2-серверу за легитимные.
Другие вредоносные программы, используемые группой, включают, помимо прочего, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin и M2RAT. Еще одна волна атак, наблюдавшаяся в ноябре 2022 года, использовала ZIP-архивы, содержащие LNK-файлы, для развертывания загрузчика Amadey с целью доставки дополнительных полезных нагрузок.
В Check Point заявили, что использование LNK-файла может инициировать такую же эффективную цепочку заражения простым двойным щелчком мыши, что является более надежным, чем эксплойты n-day или макросы Microsoft Office, которые требуют дополнительных щелчков для заражения.