Grupo ScarCruft APT da Coreia do Norte tem como alvo profissionais de segurança da informação

Início / Tecnologia da Informação / Grupo ScarCruft APT da Coreia do Norte tem como alvo profissionais de segurança da informação

Os pesquisadores de segurança cibernética e os analistas de ameaças estão no topo da lista de alvos valiosos para os atores de ameaças persistentes avançadas (APT) dos estados-nação. O pessoal de segurança da informação não só pode fornecer acesso a informações não públicas sobre malware e mitigações, mas também pode tornar-se vetores de ataque através dos quais as próprias empresas de segurança podem tornar-se vítimas.

Os métodos através dos quais os intervenientes estatais tentaram atrair investigadores de segurança para que descarregassem malware ou se envolvessem noutras formas de comprometimento são variados e, nos últimos 18 meses, surgiram as seguintes campanhas:

  • Uma entidade norte-coreana apoiada pelo governo empregou vários meios visar pesquisadores de segurança que trabalham em pesquisa e desenvolvimento de vulnerabilidades em diferentes empresas e organizações, incluindo a criação de perfis e blogs X falsos (antigo Twitter) para estabelecer credibilidade com os pesquisadores antes de tentar colaborar na pesquisa.
  • Um ator de ameaça desconhecido crIou contas falsas do GitHub de empresas de segurança cibernética legítimas e inexistentes para atrair profissionais de segurança da informação.
  • Um suposto grupo norte-coreano criou contas falsas do LinkedIn, fazendo-se passar por recrutadores para atrair profissionais de segurança cibernética. Os atores da ameaça usaram sites de mídia social como o X para construir relacionamento com seus alvos, às vezes mantendo conversas de meses de duração na tentativa de, em última instância, enviar-lhes arquivos maliciosos contendo uma exploração de dia zero.

Agora, o SentinelLabs emitiu um relatório sobre uma nova campanha de teste do ScarCruft, um suposto grupo norte-coreano de APT, provavelmente visando consumidores de inteligência de ameaças, como profissionais de segurança cibernética. Em colaboração com a empresa de comunicação social norte-coreana NK News, o SentinelLabs observou uma persistente campanha de recolha de informações dirigida a especialistas em assuntos norte-coreanos do sector académico da Coreia do Sul e a uma organização noticiosa focada na Coreia do Norte.

“Com essa segmentação, o ScarCruft, de certa forma, continua a cumprir seu objetivo principal de coletar inteligência estratégica”, disse Aleksandar Milenkoski, pesquisador sênior de ameaças do SentinelLabs, um dos autores do relatório, ao CSO. “A meu ver, isso permite ao consultor obter uma melhor compreensão de como a comunidade internacional, especialmente o Ocidente, percebe o desenvolvimento na Coreia do Norte. E, em última instância, isso ajuda a auxiliar seus processos de tomada de decisão.”

Malware em estágio de planejamento usou relatório de pesquisa de ameaças públicas

O SentinelLabs também recuperou malware que acredita estar atualmente nas fases de planejamento e teste do ciclo de desenvolvimento do ScarCruft, que os atores da ameaça provavelmente usarão em campanhas futuras. O malware inclui um espectro de variantes de shellcode que fornecem ferramentas públicas RokRAT e dois arquivos LNK superdimensionados, criados por Windows automaticamente quando os usuários abrem arquivos, chamados inteligence.lnk e news.lnk. O malware RokRAT se concentra na execução de cargas adicionais e na exfiltração de dados. Este malware usa como isca um documento de pesquisa técnica pública sobre ameaças relatório sobre o ator norte-coreano Kimsuky, um grupo que compartilha características com ScarCruft. O relatório em coreano veio da Genians, uma empresa sul-coreana de segurança cibernética. “Dado o conteúdo técnico do relatório, os nomes dos arquivos LNK e o uso de iscas relevantes para os indivíduos visados ​​pela ScarCruft, suspeitamos que a ScarCruft esteja planejando campanhas de phishing sobre desenvolvimentos recentes no cenário de ameaças cibernéticas da Coreia do Norte, visando públicos que consomem relatórios de inteligência de ameaças”, O relatório do SentinelLabs conclui.

“Os agentes de ameaças da RPDC também visaram profissionais de segurança da informação no passado, predominantemente através de ataques de engenharia social”, diz Milenkoski. “Mas definitivamente observamos, pela primeira vez, o uso de relatórios de pesquisa de ameaças como iscas.

Coreia do Norte monitorando a ameaça da comunidade de inteligência

O objetivo desta cadeia de ataque seria reunir inteligência e acompanhar a comunidade de inteligência de ameaças. “Acho que o objetivo seria reunir informações não públicas de inteligência sobre ameaças e talvez até identificar estratégias de defesa que seriam eficazes contra as operações”, melhorando ao mesmo tempo suas táticas, técnicas e procedimentos, de acordo com Milenkoski.

“Com base nos nomes dos arquivos que observamos e na natureza do relatório que eles estavam usando, suspeitamos que eles estavam planejando uma campanha de phishing ou de engenharia social centrada em desenvolvimentos recentes no cenário de ameaças cibernéticas da Coreia do Norte”, diz Milenkoski. “Portanto, tendo isso em mente, há uma gama muito ampla de profissionais de segurança cibernética que eles poderiam atingir, desde profissionais cibernéticos iniciantes ou juniores até profissionais muito experientes.”

O SentinelLabs observou vários arquivos maliciosos que usaram este relatório específico, indicando que o ScarCruft estava em processo de teste. No entanto, nada na cadeia de infecção proibiria o ScarCruft de usar o relatório de pesquisa de qualquer fornecedor como isca, expandindo assim potencialmente o grupo de indivíduos interessados ​​em ler relatórios de pesquisa de segurança cibernética. “Eles também podem usar outros relatórios de informações sobre ameaças. Não há nada que os proíba de usar outros relatórios de informações sobre ameaças do ponto de vista técnico, pelo menos”, diz Milenkoski.

O fato de o relatório da Genians ter sido escrito em coreano não limitaria necessariamente o alcance potencial de qualquer campanha ativa do ScarCruft apenas aos leitores de língua coreana. “Nós, como pesquisadores de inteligência de ameaças, também consumimos regularmente relatórios de inteligência de ameaças em outros idiomas. Esta é uma prática comum em nossa comunidade.”

Os profissionais cibernéticos precisam estar vigilantes

ScarCruft provavelmente lançará esta campanha de teste de verdade em algum momento. “Acho que eles são muito, muito persistentes e muito adaptáveis”, diz Milenkoski. “Suspeito que em algum momento eles continuarão a implementar esta campanha, porque os objetivos da campanha são de interesse estratégico para eles.” Ele especula que qualquer campanha bem-sucedida que o ScarCruft implemente usando essa cadeia de infecção provavelmente seria muito direcionada, especialmente se fosse muito deliberada e persistente.

Embora a maioria dos profissionais de segurança cibernética tenha se tornado adepta da detecção de campanhas de phishing, “eu definitivamente aconselharia todos no setor de segurança cibernética a estarem muito atentos e vigilantes sobre com quem estão falando, o que estão discutindo e aonde essas trocas levam”, diz Milenkoski. “Se em algum momento essas trocas exigirem [them] para executar algo em seu sistema ou para baixar e executar, então é definitivamente um sinal de alerta. A menos que essa comunicação seja com uma pessoa de muita confiança.”

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.