摘要: 2023 年 12 月,一个名为 ScarCruft 的威胁行为者策划了一场新的活动,媒体机构和朝鲜事务方面的知名专家都受到了攻击。 "SentinelOne 研究人员亚历山大-米伦科斯基(Aleksandar Milenkoski)和汤姆-黑格尔(Tom H...
2023 年 12 月,一个名为 ScarCruft 的威胁行为者策划了一场新的活动,媒体机构和朝鲜事务方面的知名专家都受到了攻击。
"SentinelOne 研究人员亚历山大-米伦科斯基(Aleksandar Milenkoski)和汤姆-黑格尔(Tom Hegel)在与《黑客新闻》分享的一份报告中说:"ScarCruft 一直在尝试新的感染链,包括使用技术威胁研究报告作为诱饵,目标可能是网络安全专业人员等威胁情报消费者。据评估,这个与朝鲜有联系的对手隶属于国家安全部(MSS),与属于侦察总局(RGB)的 Lazarus Group 和 Kimsuky 不同。
该组织以针对政府和叛逃者为目标而闻名,利用鱼叉式网络钓鱼诱饵发送 RokRAT 和其他后门程序,最终目的是秘密收集情报,以实现朝鲜的战略利益。
2023 年 8 月,ScarCruft 与 Lazarus Group 一起参与了对俄罗斯导弹工程公司 NPO Mashinostroyeniya 的攻击,这次攻击被认为是一次 "高度理想的战略间谍任务",旨在为其备受争议的导弹项目谋利。
本周早些时候,朝鲜国家媒体报道称,朝鲜进行了一次 "水下核武器系统 "测试,以回应美国、韩国和日本的演习,并称这些演习威胁到了朝鲜的国家安全。
SentinelOne 观察到的最新攻击链以朝鲜事务专家为目标,冒充朝鲜研究所成员,敦促接收者打开包含演示材料的 ZIP 档案文件。虽然压缩文件中的九个文件中有七个是良性的,但其中两个是恶意 Windows 快捷方式 (LNK) 文件,与 Check Point 之前于 2023 年 5 月披露的用于分发 RokRAT 后门的多级感染序列如出一辙。
有证据表明,2023 年 12 月 13 日前后成为攻击目标的部分个人也曾在一个月前的 2023 年 11 月 16 日被挑中过。
SentinelOne 称,它的调查还发现了恶意软件--两个 LNK 文件("inteligence.lnk "和 "news.lnk")以及提供 RokRAT 的 shellcode 变体--据说这是威胁行为者计划和测试过程的一部分。
前者的快捷方式文件只是打开合法的记事本应用程序,而通过 news.lnk 执行的 shellcode 则为部署 RokRAT 铺平了道路,不过这种感染程序尚未在野外被观察到,这表明它很可能用于未来的活动。
这一进展表明,民族国家黑客组织正在积极调整其作案手法,很可能是为了躲避检测,以应对公众对其战术和技术的披露。
"研究人员说:"ScarCruft 仍致力于获取战略情报,并可能打算深入了解非公开的网络威胁情报和防御策略。
"这使对手能够更好地了解国际社会如何看待朝鲜的发展,从而有助于朝鲜的决策过程"。
翻译:游侠安全网、原文:The Hacker News
