据SentinelLabs于1月22日发布的一份新报告,专注于收集战略情报的朝鲜政府黑客已经针对媒体组织和该国事务的知名专家开展了一系列活动,同时还准备了一场可能旨在针对网络安全研究人员的活动。研究人员亚历山大·米伦科斯基(Aleksandar Milenkoski)和汤姆·黑格尔(Tom Hegel)称,该黑客单位被追踪为ScarCruft,据信隶属朝鲜国家安全部,在2023年11月和12月期间多次针对同一专家进行攻击。向攻击目标投递网络钓鱼电子邮件,如果打开这些电子邮件,则会试图安装RokRAT后门。作为研究的一部分,Milenkoski和Hegel还在规划和测试阶段检索了恶意软件,该恶意软件使用另一项长期朝鲜黑客活动Kimsuky的技术研究报告作为诱饵,很可能针对网络安全专业人员。这种方法是跟踪朝鲜黑客行动的人所熟知的策略。研究人员认为,正在进行的活动和测试阶段的恶意软件表明持续致力于通过有针对性的攻击收集战略情报。这些行动表明朝鲜致力于创新其武器库并扩大其目标清单,可能打算攻击和/或伪装成网络安全专业人士或企业。ScarCruft对技术威胁情报报告消费者的关注表明其有意深入了解非公开网络威胁情报和防御策略。这有助于识别对其运营的潜在威胁,并有助于完善其运营和规避方法。根据SentinelLabs的分析,ScarCruft(又名APT37、Inky Squid、RedEyes和Reaper)在11月和12月针对关注朝鲜事务的媒体组织和智库人员进行了一系列相当典型的冒充式攻击,研究人员预计该活动将持续到2024 年。然而,在分析该活动时,SentinelLabs研究人员发现了新的、正在开发的恶意软件和一些试验感染链,表明另一种类型的攻击即将到来。这并不是朝鲜行为者第一次针对网络安全专家;但值得注意的是,攻击者测试的感染例程具有创新性,因为它使用对朝鲜 APT(称为Kimsuky)的技术威胁研究作为诱饵。SentinelOne高级威胁研究员Aleksandar Milenkoski表示,攻击者试图利用韩国网络安全公司Genians发布的关于Kimsuky威胁组织的公开研究报告。该报告以韩语撰写,于2023年10月下旬发布。以这种方式称呼同为APT的人是一种新的突破,似乎开辟了新天地。他指出:“迄今为止,根据我们的可见度,我们[之前]尚未观察到ScarCruft或任何其他可疑的朝鲜威胁行为者使用与该地区另一可疑威胁行为者相关的威胁研究材料作为诱饵。” “ Kimsuky是另一个被观察到与ScarCruft共享行动特征的可疑朝鲜威胁组织,例如基础设施和命令与控制服务器配置。”Milenkoski解释说,根据恶意软件测试活动中发现的诱惑和其他细节,“对手可能打算针对……网络安全专业人士或企业”。“我们怀疑ScarCruft一直在针对朝鲜网络威胁形势的最新发展策划网络钓鱼或社会工程活动,目标受众是使用威胁情报报告的受众。”就最终目标而言,该公司得出的结论是,攻击者的目的之一可能是窃取此类报告,从而了解研究人员是否了解ScarCruft的最新策略、技术和程序(TTP),从而“识别对[APT]运营的潜在威胁,并有助于改进他们的行动和规避方法。”SentinelOne报告称,双重目标可能是获得网络安全环境的访问权限,作为令人信服的假冒攻击的启动平台,即“模仿网络安全专业人员和企业,直接瞄准特定客户和联系人,或更广泛地通过品牌假冒”。ScarCruft长期以来对韩国个人以及公共和私人实体进行有针对性的攻击,并充当朝鲜的网络间谍专家。“据观察,ScarCruft与Kimsuky具有相同的操作特征,例如基础设施和命令与控制服务器配置,”Milenkoski说道。“目前对该组织的了解表明,他们主要是在配合国家安全部(MSS)进行情报收集,并支持朝鲜的战略利益。”为此,在最初成为 SentinelLabs分析重点的活跃活动中,ScarCruft反复针对同一个人,其目标是投递RokRAT,这是他们开发的自定义后门,允许对目标实体进行一系列监视类型。根据SentinelLabs的报告,RokRAT也是可能即将到来的网络安全专业攻击浪潮的中心。研究人员表示:“在调查ScarCruft活动时,我们检索到了恶意软件,我们评估这些恶意软件是ScarCruft规划和测试流程的一部分。”这包括一系列提供RokRAT的shellcode变体、公共工具和两个名为inteligence的超大LNK文件。这两种恶意LNK恶意软件在打开时都会执行PowerShell代码,从而提取诱饵Kimsuky PDF文档(名为“inteligence.pdf”),并从云端获取名为Story.txt的十六进制编码文件。研究人员解释说,story.txt文件会良性地打开notepad.exe,这表明inteligence.lnk是出于测试目的而开发的。根据分析,“news.lnk执行的shellcode被武器化并部署了RokRAT后门”。“news.lnk很可能是inteligence.lnk的完全开发版本,旨在用于未来的ScarCruft活动。”虽然这种方法与研究人员之前分析过的野外活动类似,但很明显,该组织正在对其方法进行微调和修补。SentinelLabs最新的关于ScarCruft报告显示, ScarCruft的恶意软件测试活动揭示了对手致力于创新其武器库并扩大其目标列表 。研究人员观察到该组织正在试验新的感染链,其灵感来自于他们过去使用过的感染链。这涉及修改恶意代码实现并从感染步骤中排除某些文件,这可能是一种逃避基于文件系统工件和已知ScarCruft检测的策略威胁情报界已公开披露的技术。SentinelLabs认为,ScarCruft持续致力于通过有针对性的攻击收集战略情报。这表明攻击者对手致力于创新其武器库并扩大其目标列表,很可能打算瞄准和/或伪装成网络安全专业人士或企业。SentinelLabs观察到该组织正在试验新的感染链,其灵感来自于他们过去使用过的感染链。这涉及修改恶意代码实现并从感染步骤中排除某些文件,这可能是一种逃避基于文件系统工件和威胁情报社区已公开披露的已知ScarCruft技术的检测的策略。ScarCruft正在追求非公开的网络威胁情报和防御策略。这不仅有利于ScarCruft,而且也有利于朝鲜威胁格局中的其他组成团体,帮助他们识别对其行动的威胁并改进其行动手册。提高对潜在目标的攻击和感染方法的认识和了解对于有效防御至关重要。SentinelLabs仍然积极参与跟踪ScarCruft活动并为面临成为目标风险的组织和个人提供支持。SentinelLabs建议网络安全研究人员,尤其是那些参与研究韩国威胁形势的研究人员,保持冷静,并警惕未来精心设计、令人信服的电子邮件攻击。网络安全专业人员通常比公众更了解警告信号,因此障碍更高。尽管如此,对社会工程企图保持警惕并避免打开未知附件或点击未知链接(除非它们来自可信来源)的一般建议仍然适用。1.https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/2.https://www.darkreading.com/threat-intelligence/north-koreasc-arcruft-attackers-target-cybersecurity-pros3.https://cyberscoop.com/north-korean-government-hackers-scarcruft/
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247541999&idx=3&sn=7e0b296cde179a1bd199e03164795f76&chksm=c1e9a8bef69e21a8d9b7df4dbac93051e2dc40da2c9fac3c351f779a355491b9d5c233bc7fa2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh