ScarCruft กลุ่ม Hacker ชาวเกาหลีเหนือ แพร่กระจายมัลแวร์ RokRAT ผ่านทางไฟล์ LNK
กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่รู้จักกันในชื่อ ScarCruft ได้เริ่มทดลองใช้ไฟล์ LNK ขนาดใหญ่ เพื่อเป็นช่องทางในการติดตั้งมัลแวร์ RokRAT มาตั้งแต่เดือนกรกฎาคม 2022 ซึ่งเป็นเดือนเดียวกันกับ Microsoft ได้เริ่มตั้งค่าการบล็อกมาโครภายในเอกสาร Office เป็นค่าเริ่มต้น
Check Point ระบุในรายงานว่า ตัวมัลแวร์ RokRAT เองไม่ได้มีการเปลี่ยนแปลงอะไรอย่างมีนัยสำคัญแต่อย่างใดในหลายปีที่ผ่านมา แต่มีการพัฒนาวิธีการที่ใช้ในการแพร่กระจายอย่างต่อเนื่อง โดยปัจจุบันได้ใช้ไฟล์ archives ที่มีไฟล์ LNK อยู่ภายใน ซึ่งเป็นจุดเริ่มต้นของการโจมตีในขั้นตอนถัดไป ซึ่งเป็นแนวโน้มที่สำคัญที่กลุ่ม APT และอาชญากรทางไซเบอร์พยายามที่จะเอาชนะการบล็อกมาโครภายในเอกสารจาก Microsoft
ScarCruft หรือที่รู้จักกันในชื่อ APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes และ Ricochet Chollima เป็นกลุ่มแฮ็กเกอร์ที่มีการมุ่งเป้าไปที่บุคคล และหน่วยงานของเกาหลีใต้ ซึ่งส่วนหนึ่งของการโจมตีเป็นแบบ spear-phishing ที่ออกแบบมาโดยเฉพาะ ซึ่งแตกต่างจากกลุ่ม Lazarus หรือ Kimsuky ที่คาดว่าอยู่ภายใต้การดูแลของกระทรวงความมั่นคงแห่งรัฐ (MSS) ของเกาหลีเหนือที่มีหน้าที่ในการต่อต้านการจารกรรมทั้งใน และต่างประเทศ
มัลแวร์หลักที่ทางกลุ่มเลือกใช้ คือ RokRAT (aka DOGCALL) ซึ่งได้รับการพัฒนาให้ใช้ได้กับแพลตฟอร์มต่าง ๆ เช่น macOS (CloudMensis) และ Android (RambleOn) แสดงให้เห็นว่ามีการพัฒนาความสามารถของมัลแวร์อย่างต่อเนื่อง
RokRAT เวอร์ชันต่าง ๆ จะถูกติดตั้งเพื่อการดำเนินการที่แตกต่างกัน เช่น การขโมยข้อมูลส่วนตัว, ข้อมูลของเหยื่อ, การจับภาพหน้าจอ, รวบรวมข้อมูลระบบ, รันคำสั่งเชลล์โค้ด, รวมถึงจัดการไฟล์ และไดเร็กทอรีบนเครื่อง
ข้อมูลที่ถูกรวบรวมบางส่วนจะถูกจัดเก็บในรูปแบบของไฟล์ MP3 เพื่อปกปิดความผิดปกติ และจะถูกส่งกลับไปผ่านทางบริการคลาวด์ เช่น Dropbox, Microsoft OneDrive, pCloud และ Yandex Cloud เพื่อให้เหมือนว่าเป็นการเชื่อมต่อตามปกติ โดยมัลแวร์อื่น ๆ ที่ถูกใช้รวมไปถึง Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin และ M2RAT นอกจากนี้ยังมีการใช้มัลแวร์ที่สามารถหาได้ทั่วไป เช่น Amadey ซึ่งเป็น downloader ที่สามารถใช้เพื่อรับคำสั่งจากผู้โจมตีให้ดาวน์โหลด payload สำหรับการโจมตีเพิ่มเติม
เมื่อสัปดาห์ที่ผ่านมา AhnLab Security Emergency Response Center (ASEC) รายงานถึงการใช้ไฟล์ LNK เป็นไฟล์ตั้งต้นของการโจมตีด้วย PowerShell command เพื่อติดตั้งมัลแวร์ RokRAT ในเดือนเมษายน 2023 แม้ว่าการเปลี่ยนแปลงจะแสดงให้เห็นถึงความพยายามของ ScarCruft ในการเปลี่ยนแปลงรูปแบบของวิธีการโจมตี แต่หลัก ๆ ก็ยังคงพบการใช้ประโยชน์จากการโจมตีด้วยมาโครในเอกสาร Word ที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ ตามข้อมูลรายงานของ Malwarebytes ในเดือนมกราคม 2021
ในส่วนของการโจมตีครั้งใหม่ที่ถูกพบโดยบริษัทความปลอดภัยทางไซเบอร์ของอิสราเอลเมื่อต้นเดือนพฤศจิกายน 2022 ก็พบว่าเป็นการโจมตีโดยการใช้ไฟล์ ZIP ที่ภายในมีไฟล์ LNK เพื่อติดตั้งมัลแวร์ Amadey เช่นเดียวกัน
Check Point ระบุว่าไฟล์ LNK เป็นจุดตั้งต้นของการติดมัลแวร์ด้วยการดับเบิ้ลคลิก ซึ่งเป็นวิธีที่ง่ายกว่ามาโครของ Office ที่ต้องใช้การคลิกเพิ่มเติมจากผู้ใช้งานเพื่อเปิดใช้งาน
APT37 ยังคงเป็นภัยคุกคามอย่างต่อเนื่องในหลายแคมเปญบนหลายแพลตฟอร์ม และมีการปรับปรุงวิธีการโจมตีด้วยมัลแวร์อย่างต่อเนื่อง โดยการค้นพบครั้งนี้เกิดขึ้นภายหลังจากที่ Kaspersky มีการเปิดเผยถึงการพัฒนามัลแวร์ด้วยภาษา Go-based โดย ScarCruft ที่มีชื่อรหัส SidLevel ซึ่งใช้บริการส่งข้อความผ่านคลาวด์ Ably เป็นกลไกสำหรับการเชื่อมต่อกับ C2 Server ที่มาพร้อมกับความสามารถที่หลากหลายในการขโมยข้อมูลที่มีความสำคัญจากเหยื่อ
โดย Kaspersky ระบุในรายงานแนวโน้มการโจมตีจาก APT ในไตรมาสที่ 1 ปี 2023 ว่า “กลุ่มผู้โจมตียังคงมีเป้าหมายเป็นบุคคลที่เกี่ยวข้องกับประเทศเกาหลีเหนือ รวมถึงนักเขียนนวนิยาย นักศึกษา และนักธุรกิจที่มีการส่งเงินทุนกลับไปยังประเทศเกาหลีเหนือ”
ที่มา : thehackernews.