ScarCruft不断发展的武器库：研究人员揭示了新的恶意软件分发技术

被称为ScarCruft的朝鲜高级持续威胁(APT)参与者正在使用武器化的Microsoft编译HTML帮助(CHM)文件来下载其他恶意软件。

根据AhnLab安全应急响应中心(ASEC)、SEKOIA.IO和Zscaler的多份报告，这一发展表明该组织不断努力改进和重组其回避检测的策略。

Zscaler研究人员Sudeep Singh和Naveen Selvan在周二发表的一份新分析报告中表示：“该组织不断改进其工具、技术和程序，同时试验新的文件格式和方法来绕过安全供应商。”

ScarCruft也以APT37、Reaper、RedEyes和Ricochet Chollima的名称进行追踪，自今年年初以来，其行动节奏加快，以各种韩国实体为间谍目的。众所周知，它至少从2012年开始活跃。

上个月，ASEC披露了一项利用HWP文件的活动，这些文件利用Hangul文字处理软件中的安全漏洞来部署名为M2RAT的后门。

但新发现表明，威胁行为者还在针对韩国目标的鱼叉式网络钓鱼攻击中使用其他文件格式，如CHM、HTA、LNK、XLL和基于宏的Microsoft Office文档。

这些感染链通常用于显示诱饵文件并部署称为Chinotto的基于PowerShell的植入程序的更新版本，它能够执行服务器发送的命令并泄露敏感数据。

Chinotto的一些新功能包括每五秒捕获一次屏幕截图和记录击键。捕获的信息保存在ZIP存档中并发送到远程服务器。

关于ScarCruft各种攻击向量的见解来自一个GitHub存储库，该存储库由对抗集体维护，自2020年10月以来托管恶意有效负载。

Zscaler的研究人员说：“威胁行为者能够维护一个GitHub存储库，经常在两年多的时间里存放恶意有效负载而没有被发现或删除。”

在恶意软件分发之外，还观察到ScarCruft提供针对多个电子邮件和云服务（例如Naver、iCloud、Kakao、Mail.ru和163.com）的凭据网络钓鱼网页。

然而，尚不清楚受害者是如何访问这些页面的，这增加了它们可能被嵌入到攻击者控制的网站上的iframe中或通过电子邮件作为HTML附件发送的可能性。

SEKOIA.IO还发现了一款​​名为AblyGo的恶意软件，这是一个用Go语言编写的后门，它利用Ably实时消息传递框架来接收命令。

使用CHM文件走私恶意软件似乎也受到其他与朝鲜有关联的团体的追捧，ASEC发现了Kimsuky精心策划的网络钓鱼活动，以分发负责收集剪贴板数据和记录击键的后门。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5285.html