GOLDBACKDOOR Backdoor IOCs

security IOC

Хакеры, похоже, взломали частный компьютер бывшего сотрудника южнокорейской разведки в рамках попытки атаковать журналистов с помощью ранее неизвестного типа вредоносного ПО.

GOLDBACKDOOR

Получив доступ к электронной почте бывшего директора Национальной разведывательной службы Южной Кореи (NIS), злоумышленники скопировали содержание прошлых разговоров с чиновником, чтобы отправить поддельные письма с похожего адреса - froggil970@naver.com - основателю NK News Чаду О'Кэрроллу. Такая тактика позволила хакерам избежать использования реального почтового ящика сотрудника разведки для отправки писем и риска быть обнаруженными, а также сделать вредоносные заманухи более правдоподобными.

Злоумышленники дошли до того, что заменили все случаи использования реального адреса электронной почты чиновника в скопированном потоке предыдущих писем на поддельный адрес, чтобы затруднить переход от скомпрометированной реальной учетной записи жертвы к учетной записи злоумышленника.
Первое письмо, отправленное Чаду О'Кэрроллу с поддельного почтового ящика froggil970@naver.com, в котором содержались копии реальных прошлых писем, которыми обменивались О'Кэрролл и бывший сотрудник разведки | Image: NK News (отредактировано)

Письма, в которых бывший сотрудник разведки просил помочь с публикацией книги, содержали ссылки на два разных ZIP-архива - оба под названием "Kang Min-chol Edits 2.zip".

По словам Катлера, один из ZIP-архивов был загружен с сервера, принадлежащего Microsoft OneDrive, через домен dailnk.us. Архив содержал LNK-файл, который загружал дополнительный код, который в итоге устанавливал новый тип вредоносного ПО, получивший название GOLDBACKDOOR.

По словам Катлера, вредоносная программа способна похищать пароли и загружать файлы в учетную запись Microsoft OneDrive, контролируемую злоумышленниками. Вредоносная программа работает только на Microsoft Windows и не затрагивает устройства под управлением MacOS от Apple.

Второй ZIP-архив, отправленный О'Кэрроллу с того же поддельного аккаунта электронной почты, по-видимому, служил приманкой, чтобы предупредить хакеров о том, что их жертва попалась на их уловки. Снова размещенный на OneDrive, файл содержал документ Microsoft Word, который не казался вредоносным, но при открытии загружал встроенное изображение с herokuapp.com, облачной платформы.

По его словам, такой подход также помогает хакерам определить, когда жертвы начинают расследовать атаку, и позволяет им удалять вредоносные полезные нагрузки до того, как исследователи смогут загрузить код.

Бывший сотрудник разведки, чей взломанный аккаунт электронной почты послужил стартовой площадкой для атаки, как оказалось, был атакован с помощью RokRAT - вредоносной программы, также приписываемой северокорейской группе ScarCruft. Хотя судебно-медицинская экспертиза компьютера чиновника выявила следы, указывающие на предыдущее заражение RokRAT, Катлер сказал, что пока неясно, активна ли эта вредоносная программа и как она могла быть установлена.

ScarCruft ранее уже атаковал видных деятелей, работающих на Северную Корею, успешно скомпрометировав устройства северокорейского перебежчика Кан Ми Чжина с помощью нескольких штаммов вредоносного ПО, как показало расследование NK News в сотрудничестве с компанией по кибербезопасности Касперского в ноябре 2021 года. Хотя вредоносное ПО, использованное в этой атаке, было другим, оно также было нацелено на взлом устройств хорошо знакомых экспертов, чьи учетные записи хакеры могли затем использовать для кражи конфиденциальных данных и обманом заставить других жертв установить вредоносный код.

По словам О'Кэрролла, он распознал вредоносную атаку, потому что документ, который чиновник якобы хотел, чтобы он просмотрел, был размещен на dailynk.us - неизвестном ему файлообменном сервисе и странном выборе для человека, не имеющего официальной связи с новостным сайтом DailyNK. Другим фактором, выдающим его, было то, что чиновник просил помочь ему опубликовать книгу в США, "в чем ему не нужна моя помощь", - сказал О'Кэрролл.

Indicators of Compromise

IPv4

  • 13.107.42.12
  • 131.107.255.255
  • 142.93.201.77

Domains

  • dailynk.us

MD5

SHA-1

SHA-256

SEC-1275-1
Добавить комментарий