Хакеры, похоже, взломали частный компьютер бывшего сотрудника южнокорейской разведки в рамках попытки атаковать журналистов с помощью ранее неизвестного типа вредоносного ПО.
GOLDBACKDOOR
Получив доступ к электронной почте бывшего директора Национальной разведывательной службы Южной Кореи (NIS), злоумышленники скопировали содержание прошлых разговоров с чиновником, чтобы отправить поддельные письма с похожего адреса - froggil970@naver.com - основателю NK News Чаду О'Кэрроллу. Такая тактика позволила хакерам избежать использования реального почтового ящика сотрудника разведки для отправки писем и риска быть обнаруженными, а также сделать вредоносные заманухи более правдоподобными.
Злоумышленники дошли до того, что заменили все случаи использования реального адреса электронной почты чиновника в скопированном потоке предыдущих писем на поддельный адрес, чтобы затруднить переход от скомпрометированной реальной учетной записи жертвы к учетной записи злоумышленника.
Первое письмо, отправленное Чаду О'Кэрроллу с поддельного почтового ящика froggil970@naver.com, в котором содержались копии реальных прошлых писем, которыми обменивались О'Кэрролл и бывший сотрудник разведки | Image: NK News (отредактировано)
Письма, в которых бывший сотрудник разведки просил помочь с публикацией книги, содержали ссылки на два разных ZIP-архива - оба под названием "Kang Min-chol Edits 2.zip".
По словам Катлера, один из ZIP-архивов был загружен с сервера, принадлежащего Microsoft OneDrive, через домен dailnk.us. Архив содержал LNK-файл, который загружал дополнительный код, который в итоге устанавливал новый тип вредоносного ПО, получивший название GOLDBACKDOOR.
По словам Катлера, вредоносная программа способна похищать пароли и загружать файлы в учетную запись Microsoft OneDrive, контролируемую злоумышленниками. Вредоносная программа работает только на Microsoft Windows и не затрагивает устройства под управлением MacOS от Apple.
Второй ZIP-архив, отправленный О'Кэрроллу с того же поддельного аккаунта электронной почты, по-видимому, служил приманкой, чтобы предупредить хакеров о том, что их жертва попалась на их уловки. Снова размещенный на OneDrive, файл содержал документ Microsoft Word, который не казался вредоносным, но при открытии загружал встроенное изображение с herokuapp.com, облачной платформы.
По его словам, такой подход также помогает хакерам определить, когда жертвы начинают расследовать атаку, и позволяет им удалять вредоносные полезные нагрузки до того, как исследователи смогут загрузить код.
Бывший сотрудник разведки, чей взломанный аккаунт электронной почты послужил стартовой площадкой для атаки, как оказалось, был атакован с помощью RokRAT - вредоносной программы, также приписываемой северокорейской группе ScarCruft. Хотя судебно-медицинская экспертиза компьютера чиновника выявила следы, указывающие на предыдущее заражение RokRAT, Катлер сказал, что пока неясно, активна ли эта вредоносная программа и как она могла быть установлена.
ScarCruft ранее уже атаковал видных деятелей, работающих на Северную Корею, успешно скомпрометировав устройства северокорейского перебежчика Кан Ми Чжина с помощью нескольких штаммов вредоносного ПО, как показало расследование NK News в сотрудничестве с компанией по кибербезопасности Касперского в ноябре 2021 года. Хотя вредоносное ПО, использованное в этой атаке, было другим, оно также было нацелено на взлом устройств хорошо знакомых экспертов, чьи учетные записи хакеры могли затем использовать для кражи конфиденциальных данных и обманом заставить других жертв установить вредоносный код.
По словам О'Кэрролла, он распознал вредоносную атаку, потому что документ, который чиновник якобы хотел, чтобы он просмотрел, был размещен на dailynk.us - неизвестном ему файлообменном сервисе и странном выборе для человека, не имеющего официальной связи с новостным сайтом DailyNK. Другим фактором, выдающим его, было то, что чиновник просил помочь ему опубликовать книгу в США, "в чем ему не нужна моя помощь", - сказал О'Кэрролл.
Indicators of Compromise
IPv4
- 13.107.42.12
- 131.107.255.255
- 142.93.201.77
Domains
- dailynk.us
MD5
SHA-1
- b2c728072afc3007f711d7264da31698008a2409
- ea0609fbf3bf0cfb2acea989126d8caafe5350ec
- ee5692d4cfc37da0e9671b18b6cda67044afd11f
SHA-256
- 9eddd99db6f5a7791f7e446792f04b301d29f6b0596920e8b39647cc7585185d
- 120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5
- 45ece107409194f5f1ec2fbd902d041f055a914e664f8ed2aa1f90e223339039