Gli hacker nordcoreani ora rubano i dati delle vittime tramite file MP3

I ricercatori di sicurezza della società di sicurezza Check Point hanno scoperto che la banda nordcoreana ScarCruft utilizza file LNK per consegnare il trojan RAT RokRAT dal luglio 2022.

ScarCruft (Chiamti anche APT37 , InkySquid, Nickel Foxcroft, Reaper, RedEyes e Ricochet Chollima) è un attore di minacce che prende di mira esclusivamente individui ed entità sudcoreane in attacchi di spear phishing progettati per fornire più backdoor e svolgere attività di spionaggio.

Questa è un’altra rappresentazione di una tendenza importante nel panorama delle minacce, in cui gli APT e i criminali informatici tentano allo stesso modo di superare il blocco delle macro da fonti non attendibili. Il primo campione è stato scoperto per la prima volta nel luglio 2022, lo stesso mese in cui Microsoft ha iniziato ad applicare questa nuova regola.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il malware principale del gruppo è RokRAT (DOGCALL per Windows, CloudMensis per macOS, RambleOn per Android), il che significa che la backdoor è attivamente sviluppata e mantenuta. 

ROKRAT non è cambiato in modo significativo nel corso degli anni, ma i suoi metodi di implementazione si sono evoluti, utilizzando ora archivi contenenti file LNK che avviano catene di infezione a più fasi.

RokRAT e le sue varianti sono progettate per svolgere una vasta gamma di attività come:

• furto di credenziali;
• esfiltrazione di dati;
• catturare schermate;
• raccolta di informazioni di sistema;
• esecuzione di comandi e shellcode;
• gestione di file e directory.

Le informazioni raccolte, alcune sono memorizzate nei file MP3 (come travestimento), le quali vengono inviate all’aggressore tramite i servizi cloud Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud nel tentativo di recuperarle dai server C2.

Un’altra ondata di attacchi nel novembre 2022 ha utilizzato archivi ZIP contenenti file LNK per distribuire il caricatore Amadey per fornire payload aggiuntivi.

Check Point ha affermato che l’utilizzo di un file LNK può avviare la stessa efficace catena di infezione con un semplice doppio clic, che è più affidabile degli exploit di n giorni o delle macro di Microsoft Office che richiedono ulteriori clic per infettare.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.