Nordkoreanische Hacker haben es auf Cybersecurity-Experten abgesehen, um wertvolle Informationen und Tools zu erlangen. Die Forscher von SentinelOne entdeckten, dass diese Hacker aktiv darauf aus sind, Bedrohungsforschungsberichte zu stehlen.
Die Hackergruppe „ScarCruft“, auch bekannt als APT37 und verbunden mit Kimsuky, zielt insbesondere auf südkoreanische Experten für Nordkorea ab. Ihre Angriffe, die sich über zwei Monate erstreckten, nutzen Täuschungsdokumente, die Bedrohungsberichte imitieren, und setzen RokRAT, einen effektiven Backdoor, über überdimensionale LNK-Dateien ein.
Die Taktiken dieser Bedrohungsakteure ähneln früheren Kampagnen aus dem Jahr 2023 und konzentrieren sich auf Experten, um strategische Informationen für Nordkorea zu sammeln. Das Ziel auf Cybersecurity-Experten deutet auf ein Interesse an Verteidigungsstrategien hin.
Am 13. Dezember 2023 wurde eine Phishing-E-Mail, die sich als Mitglied eines nordkoreanischen Forschungsinstituts ausgab, an einen Experten für nordkoreanische Angelegenheiten gesendet. Diese E-Mail enthielt eine Datei namens „December 13th announcement.zip“, die sowohl harmlose als auch schädliche Dateien beinhaltete.
Zwei schädliche LNK-Dateien, getarnt als Hangul Word Processor-Dokumente, nutzten Microsofts Standard-Makrosicherheit für Malware-Exploits. Die Dateien, benannt nach nordkoreanischen Menschenrechtsfragen, begannen jeweils mit einer Zahl.
Im Dezember 2023 griff ScarCruft Personen an, die bereits am 16. November 2023 Ziel eines Angriffs waren, was die Beharrlichkeit des Gegners zeigt. Eine frühere Kampagne involvierte eine Nachrichtenorganisation, wobei eine Phishing-E-Mail zwei schädliche HWP-Dateien anhängte, die eine Analyse der Marktpreise in Nordkorea vortäuschten.
Dokumente mit OLE-Objekten im HWP-Format aktivierten C2-URLs. Metadaten verbanden Konten, wie das von Daily NK, was auf eine gezielte Strategie gegen Nordkorea hinweist. Ähnlichkeiten mit Kimsuky-Kampagnen werfen Fragen bezüglich der mit Daily NK verbundenen Malware auf.
ScarCrufts Überschneidungen mit einer russischen Raketenorganisation unterstreichen zusätzlich ihre Taktik. Die Untersuchung von C2-URLs und Benutzerparametern ist im Gange. Die Infrastrukturdetails enthüllen die Nutzung von Cherry Servers und Namecheap-Domainregistrierungstaktiken.
Die Rotation der Domains des Akteurs zielt darauf ab, Entdeckung zu vermeiden, wie z. B. bei instantreceive[.]org, das GitHub imitiert. Dieses Muster stimmt mit nordkoreaassoziierten Bedrohungsakteuren überein.
Um sich erfolgreich zu schützen, müssen die Ziele sich der Angriffs- und Infektionsstrategien der Bedrohungsakteure bewusster sein und diese verstehen.