Спецпроекты

Безопасность

Северокорейские хакеры атакуют специалистов по КНДР

APT-группировка ScarCruft атакует международные организации и иностранных экспертов, изучающих Северную Корею. Достается и специалистам по информационной безопасности.

Эксперименты со слежкой

APT-группа ScarCruft, также известная как APT37, InkySquid, RedEyes, Chollima или Ruby Sleet, предположительно связанная с министерством государственной безопасности КНДР, атакует медиа-организации и именитых экспертов по Северной Корее. Кампания, выявленная исследователями фирмы SentinelOne, направлена также на специалистов по кибербезопасности.

«ScarCruft экспериментирует с новыми схемами заражения, в том числе используя технические исследования угроз в качестве приманки; вероятно, целью являются потребители данных о новых киберугрозах, например, эксперты по цифровой безопасности», - говорится в публикации Александара Миленкоски (Alexandar Milenkoski) и Тома Хегеля (Tom Hegel), сотрудников Sentinel One.

ScarCruft в прошлом производила атаки на государственные органы других стран и на известных перебежчиков; в большинстве случаев использовались спиэр-фишинговые сообщения, «заряженные» троянцем RokRAT или другим бэкдорами. Конечной целью был сбор разведданных.

Северокорейские хакеры пытаются собрать информацию об экспертах по КНДР

В августе 2023 г. ScarCruft подозревали в осуществлении атаки на российского производителя ракетных технологий «НПО Машиностроения». Хакеры стремились заполучить информацию, которая могла бы поспособствовать развитию северокорейской ракетной программы.

Атака, вероятно, производилась совместно с группой Lazarus. Как считают эксперты, Lazarus, в отличие от ScarCruft, подчиняются главному разведывательному бюро КНДР.

Экспертиза как приманка

В ходе недавней атаки, которую эксперты SentinelOne имели возможность отследить, операторы ScarCruft переслали вредоносный ZIP-архив члену южнокорейского Института исследований Северной Кореи, в котором якобы содержалась значимая презентация.

Архив включал девять файлов, семь из которых были безвредными. Однако два содержали вредоносные LNK-файлы, запускавшие цепочку заражения, аналогичную той, что была раскрыта в мае 2023 г. фирмой Check Point. В конечном итоге жертве в систему устанавливался бэкдор RokRAT.

Специалисты SentinelOne также утверждают, что смогли перехватить другой вредоносный комплект, который используется его создателями для планирования и тестирования. В него входят файлы intelligence.lnk и news.lnk; первый просто открывает легитимное приложение Блокнот (Notepad.exe), а вот второй содержит шеллкод, устанавливающий все тот же RokRAT. В обоих файлах LNK содержится один и тот же документ - исследование еще одной северокорейской кибергруппировки Kimsuky, проведенное южнокорейской компанией Genians в конце октября 2023 г.

В SentinelOne предполагают, что северокорейские спецслужбы ищут способы расширить свой киберразведывательный потенциал. В том числе, через убедительную имитацию профессионалов в сфере информационной безопасности. Они также заинтересованы в том, чтобы снизить свою заметность.

Специалисты SentinelOne отмечают, что ScarCruft может пытаться собирать непубличные данные киберразведке и обороне. Это позволит властям КНДР лучше понять, как международное сообщество воспринимает происходящие в стране процессы и, возможно, учитывать эти данные в принятии решений.

«Публикации о деятельности киберзлоумышленников безусловно им мешают», - комментирует директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, северокорейским хакерам не получается скрыть свою деятельность от публикаций. «Но они вполне могут попытаться использовать дезинформацию для того, чтобы сбивать оппонентов со следа и направлять по ложному пути», - предположила Анастасия Мельникова.

Ранее северокорейские хакеры неоднократно пытались атаковать специалистов по кибербезопасности различными способами, в том числе, выдавая себя за коллег по цеху. В большинстве случаев целью атак была слежка.

Роман Георгиев

Короткая ссылка