Una campagna di APT37 ha utilizzato un sofisticato malware per rubare informazioni sulle fonti, che sembra essere un successore di Bluelight.
Gli hacker legati al governo nordcoreano stanno attivamente prendendo di mira i giornalisti con un nuovo malware soprannominato Goldbackdoor. Gli attacchi sono consistiti in una campagna di infezione multistadio con l’obiettivo finale di rubare informazioni sensibili dagli obiettivi. Si ritiene che la campagna sia iniziata a marzo ed è in corso secondo i ricercatori di Stairwell hanno seguito un rapporto iniziale da NK News della Corea del Sud, che ha rivelato che APT37 aveva rubato informazioni dal computer privato di un ex funzionario dell’intelligence sudcoreana. L’attore della minaccia noto anche come Ricochet Collima, InkySquid, Reaper o ScarCruft ha tentato di impersonare NK News e distribuito quello che sembrava essere un nuovo malware nel tentativo di colpire i giornalisti che stavano usando il funzionario come fonte.
NK News ha passato i dettagli a Stairwell per ulteriori indagini. I ricercatori della società di cybersicurezza hanno scoperto dettagli specifici del malware, chiamato Goldbackdoor. Il malware è probabilmente un successore del malware Bluelight, secondo un rapporto che hanno pubblicato alla fine della scorsa settimana.
“Il malware Goldbackdoor condivide forti sovrapposizioni tecniche con il malware Bluelight“, hanno scritto i ricercatori. “Queste sovrapposizioni, insieme alla sospetta risorsa di sviluppo condivisa e all’impersonificazione di NK News, supportano la nostra attribuzione di Goldbackdoor a APT37“.
Come hanno notato i ricercatori di Stairwell, i giornalisti sono “obiettivi di alto valore per i governi ostili” e spesso l’obiettivo di attacchi di spionaggio informatico. Infatti, una delle più grandi storie di sicurezza dell’anno scorso è stato l’uso da parte di vari governi dello spyware Pegasus di NSO Group contro i giornalisti, tra gli altri obiettivi.
“I giornalisti spesso sono aggregatori di storie da molti individui, a volte compresi quelli con accesso sensibile“, hanno scritto i ricercatori Stairwell. “Compromettere un giornalista può fornire l’accesso a informazioni altamente sensibili e consentire ulteriori attacchi contro le loro fonti“.
Malware a più fasi
L’attuale saga della campagna si è svolta a partire dal 18 marzo, quando NK News ha condiviso “più artefatti dannosi con il team di ricerca sulle minacce di Stairwell da una campagna di spear-phishing rivolta ai giornalisti specializzati nella RPDC“, hanno scritto i ricercatori. I messaggi sono stati inviati dall’email personale di un ex direttore del National Intelligence Service della Corea del Sud, NIS.
“Uno di questi artefatti era un nuovo campione di malware che abbiamo chiamato Goldbackdoor, basato su un artefatto di sviluppo incorporato”, hanno scritto.
Goldbackdoor è un malware a più stadi che separa la prima fase degli strumenti e il carico utile finale, che permette all’attore della minaccia di fermare la distribuzione dopo che gli obiettivi iniziali sono stati infettati, hanno detto i ricercatori.
“Inoltre, questo design può limitare la capacità di condurre un’analisi retrospettiva una volta che i payload vengono rimossi dall’infrastruttura di controllo”, hanno scritto nel rapporto.
Il malware, come Bluelight prima di esso, utilizza i fornitori di servizi cloud per ricevere i comandi dell’attore ed esfiltrare i dati. Il campione specificamente analizzato dai ricercatori ha utilizzato Microsoft OneDrive e Graph API, mentre un ulteriore campione identificato con hash SHA256 ha utilizzato Google Drive.
Incorporato all’interno del malware sono una serie di chiavi API utilizzate per autenticarsi contro la piattaforma di cloud computing Azure di Microsoft e recuperare i comandi per l’esecuzione, hanno detto i ricercatori.
“Goldbackdoor fornisce agli aggressori l’esecuzione di comandi remoti di base, il download/caricamento di file, il keylogging e la capacità di disinstallare da remoto“, hanno scritto. “Questa funzionalità e implementazione corrispondono da vicino a Bluelight; tuttavia, l’attenzione maggiore sembra essere stata posta sulla raccolta di file e sul keylogging“.
Fase uno
Goldbackdoor è un malware sofisticato che i ricercatori hanno suddiviso in due fasi. Nella prima fase, una vittima deve scaricare un file ZIP da un sito compromesso, https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip, che esegue un collegamento Windows compresso.
“Il dominio dailynk[.]us è stato probabilmente scelto per impersonare NK News (dailynk[.]com)”, hanno detto i ricercatori, ed era stato precedentemente utilizzato da APT37 in una campagna precedente.
I ricercatori di Stairwell hanno recuperato il file ZIP per l’analisi da una cronologia DNS del sito, che aveva smesso di risolversi già al momento della loro indagine. Hanno identificato che il file è stato creato il 17 marzo e conteneva un file LNK di scorciatoia di 282,7 MB per Windows chiamato Kang Min-chol Edits, probabilmente un riferimento a Kang Min-chol, ministro delle industrie minerarie della Corea del Nord.
“Gli aggressori hanno mascherato questo collegamento come un documento, utilizzando sia l’icona di Microsoft Word che aggiungendo commenti simili a un documento Word”, hanno scritto i ricercatori.
Hanno anche imbottito il file LNK 0x90, o NOP/No Operation, byte per aumentare artificialmente la dimensione di questo file, potenzialmente come un mezzo per impedire l’upload a servizi di rilevamento o malware repository hanno detto.
Una volta eseguito, il LNK esegue uno script PowerShell che scrive e apre un documento esca prima di iniziare il processo di distribuzione di Goldbackdoor, hanno detto i ricercatori.
Fase due
Dopo aver distribuito il documento esca, lo script PowerShell decodifica un secondo script PowerShell che poi scaricherà ed eseguirà un payload shellcode con nome XOR “Fantasy” memorizzato su Microsoft OneDrive.
Quel payload Fantasy è la seconda fase del processo del malware, e la prima di un processo finale in due parti per distribuire Goldbackdoor, hanno detto i ricercatori.
“Entrambe le parti sono scritte in codice indipendente dalla posizione (shellcode) contenente un carico utile incorporato, e utilizzano l’iniezione di processo per distribuire Goldbackdoor“, hanno scritto.
Fantasy analizza e decodifica il payload e utilizza un processo standard che coinvolge VirtualAllocEx,WriteProcessMemory e RtlCreateUserThread per generare un thread sotto il processo precedentemente creato per eseguirlo, hanno detto i ricercatori.
Il dropper finale è un payload shellcode in esecuzione come quel thread in un processo creato da Fantasy per eseguire la distribuzione finale del malware.
“Il payload consegnato da questa fase è un file PE eseguibile portatile di Windows per Goldbackdoor“, hanno scritto i ricercatori.
