Una campagna di attacco cibernetico in corso ha preso di mira individui di lingua coreana, utilizzando documenti a tema militare statunitense per indurli a eseguire malware sui sistemi compromessi. La società di cybersecurity Securonix sta monitorando l’attività sotto il nome di STARK#MULE.
STARK#MULE e i suoi obiettivi
“Basandosi sulla fonte e sui probabili obiettivi, questi tipi di attacchi sono in linea con gli attacchi passati derivanti da tipici gruppi nordcoreani come APT37, dato che la Corea del Sud è storicamente stata un obiettivo primario del gruppo, in particolare i suoi funzionari governativi”, hanno dichiarato i ricercatori di sicurezza Den Iuzvyk, Tim Peck e Oleg Kolesnikov in un rapporto condiviso con The Hacker News.
Le tecniche di attacco
Le catene di attacco montate dal gruppo hanno storicamente fatto affidamento sull’ingegneria sociale per ingannare le vittime e consegnare payload come RokRat sulle reti target. Detto questo, il collettivo avversario ha ampliato il suo arsenale offensivo con una varietà di famiglie di malware negli ultimi mesi, tra cui un backdoor basato su Go chiamato AblyGo.
Caratteristiche della nuova campagna
Una caratteristica notevole della nuova campagna è l’uso di siti web di e-commerce coreani compromessi per la messa in scena di payload e command-and-control (C2) nel tentativo di volare sotto il radar delle soluzioni di sicurezza installate sui sistemi.
La divulgazione arriva mentre APT37 è stata anche osservata utilizzando file CHM in e-mail di phishing che impersonano e-mail di sicurezza da istituti finanziari e compagnie di assicurazione per distribuire malware ruba-informazioni e altri binari, secondo il AhnLab Security Emergency Response Center (ASEC).