Północnokoreańska grupa ScarCruft rozszerza swoją działalność z szpiegowania na ataki ransomware

Północnokoreańscy hakerzy ScarCruft przeszli od szpiegostwa do ransomware, wykorzystując złośliwe oprogramowanie VCD w atakach phishingowych, atakując Koreę Południową zaawansowanymi narzędziami. Dowiedz się, jak to nowe złośliwe oprogramowanie oznacza przejście od szpiegostwa do cyberataków motywowanych finansowo.

Znana północnokoreańska grupa hakerska ScarCruft zmienia swoje metody, dodając nowy rodzaj ataku do swojego standardowego arsenału szpiegowskiego. Eksperci ds. cyberbezpieczeństwa z południowokoreańskiej firmy S2W opublikowali niedawno raport ujawniający, że ScarCruft używa nowego ransomware o nazwie VCD.

Jest to istotna zmiana, gdyż tradycyjnie grupa ta skupiała się na kradzieży informacji od wpływowych osób i agencji rządowych w takich krajach jak Korea Południowa, Japonia i Rosja.

Ostatnia kampania grupy, przeprowadzona przez podgrupę o nazwie ChinopuNK, miała miejsce w lipcu i polegała na wysyłaniu wiadomości phishingowych do osób w Korei Południowej. Wiadomości te zawierały podejrzane pliki podszywające się pod aktualizację kodów pocztowych.

Po otwarciu plik infekował komputer ofiary ponad dziewięcioma różnymi rodzajami złośliwego oprogramowania, w tym nowym wariantem znanego oprogramowania o nazwie ChillyChino oraz backdoorem napisanym w języku programowania Rust . Wśród nich znalazły się programy kradnące informacje, takie jak LightPeek i FadeStealer, a także backdoor o nazwie NubSpy, który umożliwiał hakerom potajemne przejęcie kontroli nad komputerem.

Ten backdoor jest szczególnie sprytny, ponieważ wykorzystuje usługę przesyłania wiadomości w czasie rzeczywistym o nazwie PubNub do ukrywania złośliwego ruchu w normalnej aktywności sieciowej. Kampania ta jest również godna uwagi, ponieważ obejmowała nowy ransomware VCD, który blokuje pliki użytkownika i żąda okupu. Żądanie okupu jest dostępne w języku angielskim i koreańskim.

Według Centrum Analizy Zagrożeń i Wywiadu (TALON) S2W, to nowe podejście sugeruje, że ScarCruft może dodawać do swoich działań szpiegowskich cele motywowane finansowo. Grupa jest częścią większej sieci północnokoreańskich hakerów, o których wiadomo, że generują dochody dla rządu Korei Północnej, który jest objęty wieloma sankcjami gospodarczymi.

W raporcie Organizacji Narodów Zjednoczonych z ubiegłego roku ( PDF ) stwierdzono, że północnokoreańscy hakerzy, w tym grupy takie jak Lazarus i Kimsuky , ukradli około 3 miliardów dolarów w ciągu sześciu lat.

Mayank Kumar , inżynier założyciel i specjalista ds. sztucznej inteligencji w firmie DeepTempo, skomentował tę ewolucję, podkreślając, jak bardzo złożone stają się te ataki. Dzieląc się swoim komentarzem z Hackread.com, Kumar powiedział, że wykorzystywanie przez ScarCruft oprogramowania ransomware w połączeniu z tradycyjnymi narzędziami szpiegującymi pokazuje nowy trend, w którym hakowanie wspierane przez państwo i taktyki przestępcze łączą się.

„Zaawansowane grupy zajmujące się uporczywym zagrożeniem muszą rozszerzyć swoje zestawy narzędzi i zatrzeć granicę między szpiegostwem a cyberprzestępczością. Obrońcy muszą przygotować się na kampanie, w których ransomware jest tylko jednym z elementów wieloetapowej operacji. Adaptacyjne, oparte na głębokim uczeniu wykrywanie anomalii w ruchu sieciowym, zdarzeniach systemowych i dziennikach bezpieczeństwa, w połączeniu z silną segmentacją, szybkim ograniczaniem i widocznością zarówno ludzkiej, jak i zautomatyzowanej aktywności przeciwnika, jest niezbędne do przeciwdziałania takim mieszanym zagrożeniom” – zasugerował Kumar.