Dopo aver affrontato la storia di Reaper dagli inizi fino al 2018, giungiamo nel 2019 e precisamente tra Luglio e Ottobre 2019, quando l’Unit 42 ha osservato diverse famiglie di malware tipicamente associate al gruppo Konni utilizzate per colpire principalmente un’agenzia governativa degli Stati Uniti facendo leva sui problemi di relazioni geopolitiche in corso riguardanti la Corea del Nord. Lo scopo era quello di attirare gli obiettivi ad aprire allegati di e-mail dannose. Le famiglie di malware utilizzate in questa campagna consistevano principalmente in documenti dannosi con downloader CARROTBAT con payload SYSCON, ma includevano anche un nuovo downloader malware che Unit 42 ha soprannominato CARROTBALL.
CARROTBALL, inizialmente scoperto in un attacco nel mese di ottobre 2019, è una semplice utilità di downloader FTP che facilita l’installazione di SYSCON, un trojan (RAT) ad accesso remoto completo che sfrutta l’FTP per il comando e il controllo (C2). È stato trovato incorporato in un documento Word maligno inviato come esca di phishing a un’agenzia governativa statunitense e a due cittadini stranieri non statunitensi associati professionalmente alla Corea del Nord.
Nel corso della campagna, Unit 42 ha infine osservato un totale di sei esche di documenti dannosi inviati come allegati da quattro indirizzi e-mail russi a 10 obiettivi. L’oggetto delle esche presentava articoli scritti in russo relativi a questioni di relazioni geopolitiche in corso riguardanti la Corea del Nord. Di questi documenti dannosi, cinque contenevano downloader CARROTBAT e uno conteneva un downloader CARROTBALL. Tutti i payloads maligni del secondo stadio erano SYSCON.
Questa campagna ha dimostrato una certa evoluzione nelle tattiche, tecniche e procedure (TTP) dell’attore con l’uso di una nuova famiglia di downloader e un nuovo codice dannoso sotto forma di macro di documenti Word, la maggior parte dei suoi attributi ha una forte somiglianza con la campagna Fractured Block precedentemente riportata da Unit 42 nel novembre 2018. Come tale, Unit 42 ha soprannominato questa campagna Fractured Statue.
ESRC (ESTsecurity Security Response Center) ha scoperto l’attacco APT mobile furtivo, dove APT37 ha anche distribuito un’app dannosa (APK) attraverso il sito mascherato come un servizio di raccolta fondi per sostenere i disertori nordcoreani. Il sito web è stato sviluppato costruito su piattaforma WordPress ed il dominio è stato creato il 23 agosto 2019 per poi essere aggiornato il 22 ottobre quando al portale è stato associato un link di installazione dell’app Android (Google Play).
La trappola virtuale mascherata da sito di beneficenza ingannava i disertori nordcoreani e le organizzazioni legate alla Corea del Nord a installare le applicazioni utilizzando la promozione di strategie in molte forme diverse.
Gli smartphone “zombi“, sfruttati dall’operazione cibernetica, sono poi emersi come una minaccia importante che non doveva essere trascurata visti i diversi tentativi registrati di rubare SMS e rubriche telefoniche, il potenziale spionaggio delle conversazioni telefoniche compresi i messaggi della nota piattaforma sud coreana KakaoTalk che apparivano nelle finestre di notifica. Vale anche la pena notare che celebrità piuttosto popolari sono state esposte a all’attacco APT ‘Dragon Messenger’.
L’ESRC ha chiamato l’operazione “Dragon Messenger” sulla base dei diversi fattori interessanti trovati nella campagna, come l’applicazione maligna che raccoglie i dati attraverso il percorso “DragonTask” e l’attacco eseguito travestito da messaggero sicuro.
Il 7 dicembre 2020 è stato identificato un documento dannoso ed è stato caricato su Virus Total che si presentava come una richiesta di incontro probabilmente usata per colpire il governo della Corea del Sud. La data della riunione menzionata nel documento era il 23 gennaio 2020 e si allineava con il tempo di compilazione del documento del 27 gennaio 2020, indicando che questo attacco ha avuto luogo quasi un anno fa.
Il file conteneva una macro incorporata che utilizzava una tecnica di auto decodifica VBA per decodificarsi all’interno degli spazi di memoria di Microsoft Office senza scrivere sul disco ed incorporando una variante del RokRat in Notepad.
Sulla base del payload utilizzato è tornato subito in mente Reaper e la campagna con suffisso “Fractured” che in passato era nota per colpire grazie alla manipolazione di documenti Hangul Office (file hwp): un software comunemente usato in Corea del Sud.
Come abbiamo visto, l’attore ha utilizzato il concetto di auto-decodifica VBA nella sua macro per la prima volta nel 2016.
Una macro dannosa è codificata all’interno di un’altra che viene poi decodificata ed eseguita dinamicamente.
Il principale vettore di infezione iniziale utilizzato da APT37 è lo spear phishing, in cui l’attore invia un e-mail a un obiettivo contenente un documento dannoso. Il caso analizzato era uno dei pochi in cui non hanno usato file Hwp (Hangul Office) come documenti phish e invece hanno usato documenti Microsoft Office armati con una macro di auto decodifica. Questa tecnica si è rivelata una scelta intelligente che bypassava diversi meccanismi di rilevamento statico e nascondeva l’intento principale di un documento dannoso. Il payload finale utilizzato da questo attore di minacce era il già noto RAT personalizzato (RokRat) che il gruppo ha utilizzato in campagne precedenti. In passato, RokRat era stato iniettato in cmd.exe, mentre qui hanno scelto Notepad.exe.
I ricercatori dell’ESRC (ESTsecurity Security Response Center) hanno poi identificato una nuova campagna APT condotta dal gruppo sponsorizzato dallo stato chiamato ‘Geumseong121’, ma è sempre Reaper, all’inizio di marzo 2020. Un rapporto intitolato “The stealthy mobile APT attack carried out by Geumseong121 APT hacking group“, pubblicato nel novembre del 2019, rivelava che il gruppo ha tentato di eseguire attacchi informatici mirati a una vasta gamma di dispositivi tra cui computer e dispositivi mobili. In particolare, il gruppo si è infiltrato in un sito web non specificato e lo ha sfruttato come un server di controllo del comando (C2) nella campagna “Operation Dragon Messenger“. Inoltre, si è notata una certa evoluzione delle strategie di attacco nei server web, che sono stati costruiti dal gruppo utilizzando il suo design, per essere utilizzati nell’attacco appena scoperto. L’uso di tattiche di attacco basate sulla fiducia come Google Play Store o YouTube si distingue dalle strategie di attacco esistenti che sono state utilizzate dalla maggior parte degli attori delle minacce. La campagna APT ha utilizzato le tecniche avanzate di spear-phishing con il file esca contenente prove di disertori nordcoreani per ingannare i destinatari delle e-mail a credere di aver ricevuto una e-mail da una fonte affidabile. L’ESRC ha denominato la campagna APT d i Reaper “Operazione Spy Cloud” sulla base dell’uso di Google Drive e del servizio PickCloud.
Verso dicembre del 2019 l’APT37 è stato scoperto per aver manomesso un programma di messaggistica di investimenti in azioni private con il fine di condurre un attacco alla catena di approvvigionamento. Fino a poco tempo, l’organizzazione utilizzava principalmente attacchi di spear phishing.
Il 16 ottobre 2020 si è verificato un caso dove un programma di messaggistica è stato creato sotto forma di programma di installazione NSIS (Nullsoft Scriptable Install System).
NSIS è un sistema di installazione basato su script per Windows ed è uno strumento di creazione del programma di installazione fornito da Nullsoft, noto per la creazione di Winamp.
Sono stati due i tipi trovati questa volta e il comando ‘wmic.exe‘ si connetteva a un server FTP specifico e scarica file di comando aggiuntivi. I file aggiuntivi ricevuti vengono eseguiti in base al comando VBS e ‘OracleCache’, PackageUninstall‘ e ‘USODrive‘ venivano creati nella sottocartella %ProgramData%. Quindi, si connetteva al server ‘frog.smtper[.]co‘ ed eseguivano comandi aggiuntivi.
Il programma operativo qui utilizzato è ‘ usopub.vbs‘ creato nella cartella ‘OracleCache‘, che periodicamente tentava anche di connettersi all’indirizzo FTP tramite il comando wmic.
Quindi, l’attore della minaccia selezionava la persona infetta in base alle informazioni primarie raccolte e inviava uno strumento di controllo remoto (RAT) aggiuntivo. Inoltre, il server utilizzato dagli aggressori ha registrato il programma di invio email Leaf Smtper. ESRC ha anche trovato un file di documento dannoso utilizzando la stessa tecnica. Questo file manipolava lo schermo come se fosse un documento protetto e induceva gli utenti a fare clic sul pulsante [Usa contenuto] e se ciò avveniva la comunicazione veniva eseguita al server FTP (search.greenulz[.]com) designato dall’attore della minaccia tramite lo stesso comando wmic os get incluso all’interno.
L’ESRC ha rivelato a suo tempo che Reaper ha utilizzato la tecnica “XSL Script Processing” per attacchi di nicchia e non solo negli attacchi di spear phishing dannosi basati su documenti, ma anche negli attacchi alla catena di approvvigionamento che in questo caso erano rivolti agli investitori in azioni con il fine di ottenere rendimenti finanziari.
