ScarCruft กลุ่ม Hacker ชาวเกาหลีเหนือ แพร่กระจายมัลแวร์ RokRAT ผ่านทางไฟล์ LNK

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่รู้จักกันในชื่อ ScarCruft ได้เริ่มทดลองใช้ไฟล์ LNK ขนาดใหญ่ เพื่อเป็นช่องทางในการติดตั้งมัลแวร์ RokRAT มาตั้งแต่เดือนกรกฎาคม 2022 ซึ่งเป็นเดือนเดียวกันกับ Microsoft ได้เริ่มตั้งค่าการบล็อกมาโครภายในเอกสาร Office เป็นค่าเริ่มต้น

Check Point ระบุในรายงานว่า ตัวมัลแวร์ RokRAT เองไม่ได้มีการเปลี่ยนแปลงอะไรอย่างมีนัยสำคัญแต่อย่างใดในหลายปีที่ผ่านมา แต่มีการพัฒนาวิธีการที่ใช้ในการแพร่กระจายอย่างต่อเนื่อง โดยปัจจุบันได้ใช้ไฟล์ archives ที่มีไฟล์ LNK อยู่ภายใน ซึ่งเป็นจุดเริ่มต้นของการโจมตีในขั้นตอนถัดไป ซึ่งเป็นแนวโน้มที่สำคัญที่กลุ่ม APT และอาชญากรทางไซเบอร์พยายามที่จะเอาชนะการบล็อกมาโครภายในเอกสารจาก Microsoft

ScarCruft หรือที่รู้จักกันในชื่อ APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes และ Ricochet Chollima เป็นกลุ่มแฮ็กเกอร์ที่มีการมุ่งเป้าไปที่บุคคล และหน่วยงานของเกาหลีใต้ ซึ่งส่วนหนึ่งของการโจมตีเป็นแบบ spear-phishing ที่ออกแบบมาโดยเฉพาะ ซึ่งแตกต่างจากกลุ่ม Lazarus หรือ Kimsuky ที่คาดว่าอยู่ภายใต้การดูแลของกระทรวงความมั่นคงแห่งรัฐ (MSS) ของเกาหลีเหนือที่มีหน้าที่ในการต่อต้านการจารกรรมทั้งใน และต่างประเทศ

มัลแวร์หลักที่ทางกลุ่มเลือกใช้ คือ RokRAT (aka DOGCALL) ซึ่งได้รับการพัฒนาให้ใช้ได้กับแพลตฟอร์มต่าง ๆ เช่น macOS (CloudMensis) และ Android (RambleOn) แสดงให้เห็นว่ามีการพัฒนาความสามารถของมัลแวร์อย่างต่อเนื่อง

RokRAT เวอร์ชันต่าง ๆ จะถูกติดตั้งเพื่อการดำเนินการที่แตกต่างกัน เช่น การขโมยข้อมูลส่วนตัว, ข้อมูลของเหยื่อ, การจับภาพหน้าจอ, รวบรวมข้อมูลระบบ, รันคำสั่งเชลล์โค้ด, รวมถึงจัดการไฟล์ และไดเร็กทอรีบนเครื่อง

ข้อมูลที่ถูกรวบรวมบางส่วนจะถูกจัดเก็บในรูปแบบของไฟล์ MP3 เพื่อปกปิดความผิดปกติ และจะถูกส่งกลับไปผ่านทางบริการคลาวด์ เช่น Dropbox, Microsoft OneDrive, pCloud และ Yandex Cloud เพื่อให้เหมือนว่าเป็นการเชื่อมต่อตามปกติ โดยมัลแวร์อื่น ๆ ที่ถูกใช้รวมไปถึง Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin และ M2RAT นอกจากนี้ยังมีการใช้มัลแวร์ที่สามารถหาได้ทั่วไป เช่น Amadey ซึ่งเป็น downloader ที่สามารถใช้เพื่อรับคำสั่งจากผู้โจมตีให้ดาวน์โหลด payload สำหรับการโจมตีเพิ่มเติม

เมื่อสัปดาห์ที่ผ่านมา AhnLab Security Emergency Response Center (ASEC) รายงานถึงการใช้ไฟล์ LNK เป็นไฟล์ตั้งต้นของการโจมตีด้วย PowerShell command เพื่อติดตั้งมัลแวร์ RokRAT ในเดือนเมษายน 2023 แม้ว่าการเปลี่ยนแปลงจะแสดงให้เห็นถึงความพยายามของ ScarCruft ในการเปลี่ยนแปลงรูปแบบของวิธีการโจมตี แต่หลัก ๆ ก็ยังคงพบการใช้ประโยชน์จากการโจมตีด้วยมาโครในเอกสาร Word ที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ ตามข้อมูลรายงานของ Malwarebytes ในเดือนมกราคม 2021

ในส่วนของการโจมตีครั้งใหม่ที่ถูกพบโดยบริษัทความปลอดภัยทางไซเบอร์ของอิสราเอลเมื่อต้นเดือนพฤศจิกายน 2022 ก็พบว่าเป็นการโจมตีโดยการใช้ไฟล์ ZIP ที่ภายในมีไฟล์ LNK เพื่อติดตั้งมัลแวร์ Amadey เช่นเดียวกัน

Check Point ระบุว่าไฟล์ LNK เป็นจุดตั้งต้นของการติดมัลแวร์ด้วยการดับเบิ้ลคลิก ซึ่งเป็นวิธีที่ง่ายกว่ามาโครของ Office ที่ต้องใช้การคลิกเพิ่มเติมจากผู้ใช้งานเพื่อเปิดใช้งาน

APT37 ยังคงเป็นภัยคุกคามอย่างต่อเนื่องในหลายแคมเปญบนหลายแพลตฟอร์ม และมีการปรับปรุงวิธีการโจมตีด้วยมัลแวร์อย่างต่อเนื่อง โดยการค้นพบครั้งนี้เกิดขึ้นภายหลังจากที่ Kaspersky มีการเปิดเผยถึงการพัฒนามัลแวร์ด้วยภาษา Go-based โดย ScarCruft ที่มีชื่อรหัส SidLevel ซึ่งใช้บริการส่งข้อความผ่านคลาวด์ Ably เป็นกลไกสำหรับการเชื่อมต่อกับ C2 Server ที่มาพร้อมกับความสามารถที่หลากหลายในการขโมยข้อมูลที่มีความสำคัญจากเหยื่อ

โดย Kaspersky ระบุในรายงานแนวโน้มการโจมตีจาก APT ในไตรมาสที่ 1 ปี 2023 ว่า “กลุ่มผู้โจมตียังคงมีเป้าหมายเป็นบุคคลที่เกี่ยวข้องกับประเทศเกาหลีเหนือ รวมถึงนักเขียนนวนิยาย นักศึกษา และนักธุรกิจที่มีการส่งเงินทุนกลับไปยังประเทศเกาหลีเหนือ”

ที่มา : thehackernews.

นักวิจัยด้านความปลอดภัย AhnLab Security Emergency response Center (ASEC), SEKOIA.IO และ Zscaler เปิดเผยรายงานการพบกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ หรือที่รู้จักกันในชื่อ ScarCruft ได้ปรับปรุง และปรับเปลี่ยนกลยุทธ์เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยในระหว่างการโจมตี โดยการใช้ไฟล์ Microsoft Compiled HTML Help (CHM) เพื่อดาวน์โหลดมัลแวร์ไปยังเครื่องเป้าหมาย

ScarCruft หรือที่รู้จักกันในชื่อ APT37, Reaper, RedEyes และ Ricochet Chollima เป็นกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ ที่กำลังถูกพบการปฏิบัติการมากขึ้นตั้งแต่ต้นปี 2023 โดยมีการกำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ของประเทศเกาหลีใต้เพื่อวัตถุประสงค์ในการจารกรรมข้อมูล โดยถูกพบครั้งแรกตั้งแต่ปี 2012

การโจมตีของ ScarCruft

โดยเมื่อเดือนกุมภาพันธ์ 2023 ทาง ASEC ได้เปิดเผยรายงานการค้นพบแคมเปญการโจมตี ซึ่งได้ใช้ไฟล์ HWP ที่มีช่องโหว่ด้านความปลอดภัยใน Hangul word processing เพื่อเรียกใช้แบ็คดอร์ที่ชื่อว่า M2RAT นอกจากนี้ยังพบว่า Hacker ได้ใช้รูปแบบไฟล์อื่น ๆ เช่น CHM, HTA, LNK, XLL และเอกสาร Microsoft Office ที่ใช้มาโครในการโจมตีแบบ phishing email กับเป้าหมายชาวเกาหลีใต้

เมื่อโจมตีได้สำเร็จ ผู้โจมตีจะทำการเรียกใช้ PowerShell เพื่อโหลดมัลแวร์ที่มีชื่อว่า Chinotto ซึ่งมีความสามารถในการเรียกใช้คำสั่งที่มาจาก C2 Server และส่งข้อมูลที่ขโมยออกมากลับไป รวมไปถึงสามารถบันทึกภาพหน้าจอทุก ๆ ห้าวินาที และบันทึกการกดแป้นพิมพ์ จากนั้นข้อมูลที่รวบรวมจะถูกบันทึกไว้ในไฟล์ ZIP และส่งออกไปยัง C2 Server

โดยข้อมูลเชิงลึกที่เกี่ยวกับการโจมตีต่างๆ ของ ScarCruft ถูกเก็บไว้ใน GitHub repository เพื่อใช้เป็นเครื่องโฮสต์สำหรับเรียกใช้เพย์โหลดที่เป็นอันตรายตั้งแต่เดือนตุลาคม 2020 นอกจากนี้ยังพบว่า ScarCruft ได้สร้างหน้าเว็บ phishing webpage เพื่อหลอกล่อเหยื่อ เช่น Naver, iCloud, Kakao, Mail.

ช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่ม ScarCruft กลุ่มแฮ็กเกอร์จากเกาหลีเหนือ ซึ่งจะมุ่งเป้าไปยังผู้ใช้งานชาวเกาหลีใต้ โดยใช้เหตุการณ์โศกนาฏกรรมที่ Itaewon ในช่วงวันฮาโลวีนเพื่อดึงดูดความสนใจให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

การค้นพบครั้งนี้ถูกรายงานโดย Benoît Sevens และ Clément Lecigne นักวิจัยจาก Google Threat Analysis Group (TAG) ซึ่งถือเป็นการโจมตีล่าสุดที่ดำเนินการโดยกลุ่ม ScarCruft ซึ่งเป็นที่รู้จักในอีกหลายชื่อ เช่น APT37, InkySquid, Reaper และ Ricochet Chollima โดยส่วนใหญ่การโจมตีจะมุ่งเป้าไปที่ผู้ใช้งานชาวเกาหลีใต้ ผู้แปรพักตร์ชาวเกาหลีเหนือ ผู้กำหนดนโยบาย นักข่าว และนักเคลื่อนไหวด้านสิทธิมนุษยชน

ลักษณะการโจมตี

การโจมตีจะเกิดขึ้นหลังจากที่มีการเปิดไฟล์บน Microsoft Word และแสดงเนื้อหา HTML ที่เปิดขึ้นมาจาก Internet Explorer
มีการใช้ช่องโหว่ของ Internet Explorer เช่น CVE-2020-1380 และ CVE-2021-26411 เพื่อติดตั้ง Backdoor อย่าง BLUELIGHT และ Dolphin
มีการใช้ RokRat (Remote Access Trojan) บน Windows ที่มีฟังก์ชั่นที่ช่วยให้สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ และการเก็บข้อมูลอุปกรณ์ Bluetooth
หลังจากที่โจมตีสำเร็จแล้ว มันจะทำการส่ง Shell Code ที่สามารถลบร่องรอยในการโจมตีทั้งหมด โดยการล้างแคช และประวัติของ Internet Explorer รวมถึง payload ของมัลแวร์

โดย Google TAG ลองอัปโหลดเอกสาร Microsoft Word ที่เป็นอันตรายนี้ไปยัง VirusTotal เมื่อวันที่ 31 ตุลาคม 2022 โดยพบว่าเป็นการโจมตีโดยใช้ช่องโหว่ Zero-day ของ Internet Explorer ที่เกี่ยวข้องกับ JScript9 JavaScript, CVE-2022-41128 ซึ่งได้รับการแก้ไขโดย Microsoft ไปแล้วเมื่อเดือนที่ผ่านมา

อีกทั้ง MalwareHunterTeam ยังพบไฟล์ Word ลักษณะเดียวกันนี้เคยถูกแชร์จากกลุ่ม Shadow Chaser Group เมื่อวันที่ 31 ตุลาคม 2022 ซึ่งเคยได้ระบุในรายงานไว้ว่าเป็น "DOCX injection template ที่น่าสนใจ" และมีต้นกำเนิดจากประเทศเกาหลีเช่นเดียวกัน

Google TAG ระบุว่าขณะนี้ยังไม่สามารถกู้คืนมัลแวร์ที่ถูกใช้ในแคมเปญนี้ได้ แม้ว่าจะทราบแล้วว่าเป็นมัลแวร์อย่างเช่น RokRat, BLUELIGHT หรือ Dolphin ก็ตาม

ที่มา : thehackernews