ScarCruft: Hacker Nordcoreani Utilizzano Ricerche False per Diffondere il Backdoor RokRAT
Le organizzazioni media e gli esperti degli affari nordcoreani sono stati bersaglio di una sofisticata campagna di hacking nel dicembre 2023, orchestrata dall'attore minaccioso noto come ScarCruft.
Secondo i ricercatori di SentinelOne, ScarCruft ha introdotto nuove catene di infezione, utilizzando un rapporto tecnico di ricerca minaccia come esca, mirando probabilmente ai professionisti della sicurezza informatica e agli appassionati di intelligence sulle minacce.
ScarCruft, anche noto come APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, è collegato al Ministero della Sicurezza di Stato (MSS) della Corea del Nord, distinguendosi dai gruppi Lazarus e Kimsuky.
Il gruppo è noto per il targeting di governi e disertori, utilizzando esche di spear-phishing per consegnare il backdoor RokRAT, perseguendo gli interessi strategici della Corea del Nord.
L'ultima campagna di attacco di ScarCruft, individuata da SentinelOne, ha preso di mira un esperto degli affari nordcoreani, fingendo di essere un membro dell'Istituto di Ricerca sulla Corea del Nord.
La vittima è stata indotta ad aprire un file ZIP contenente materiali di presentazione. Benché la maggior parte dei file fosse benigna, due file LNK maligni riflettono una sequenza di infezione precedentemente nota.
SentinelOne ha anche scoperto malware, inclusi due file LNK ("inteligence.lnk" e "news.lnk") e varianti di shellcode che consegnano RokRAT.
Questi elementi sono stati identificati come parte dei processi di pianificazione e test di ScarCruft.
Sebbene la procedura di infezione tramite news.lnk non sia ancora stata osservata in natura, indica una possibile utilizzazione in future campagne.
Il continuo sviluppo delle tattiche di ScarCruft suggerisce un adattamento attivo per eludere la rilevazione, in risposta alle divulgazioni pubbliche sulle sue tecniche. Il gruppo rimane impegnato nell'acquisire intelligence strategica, cercando di ottenere informazioni su minacce e strategie di difesa non pubbliche.
Questo approccio consente a ScarCruft di comprendere meglio la percezione della comunità internazionale sugli sviluppi in Corea del Nord, influenzando così i processi decisionali del paese.
Vulnerabilità e Patch Sicurezza
Fonte notizia
windows8.myblog.it 2024 01 23 scarcruft-hacker-nordcoreani-utilizzano-ricerche-false-per-diffondere-il-backdoor-rokrat