Medienorganisationen und hochrangige Experten für nordkoreanische Angelegenheiten waren im Dezember 2023 Ziel einer neuen Kampagne, die von einer Bedrohungsgruppe namens ScarCruft organisiert wurde.
Nach Angaben der Forscher Aleksandar Milenkoski und Tom Hegel von SentinelOne hat ScarCruft neue Infektionsketten getestet, darunter die Verwendung eines technischen Bedrohungsforschungsberichts als Köder, der wahrscheinlich auf Verbraucher von Bedrohungsintelligenz wie Cybersicherheitsfachleute abzielt.
Der mit Nordkorea verbundene Gegner, der auch unter den Namen APT37, InkySquid, RedEyes, Ricochet Chollima und Ruby Sleet bekannt ist, gehört laut SentinelOne zum Ministerium für Staatssicherheit (MSS) und unterscheidet sich damit von der Lazarus-Gruppe und Kimsuky, die Elemente des Aufklärungszentrums des Generalstabes (RGB) sind.
Die Gruppe ist dafür bekannt, Regierungen und Überläufer anzugreifen und Spear-Phishing-Köder einzusetzen, um RokRAT und andere Hintertüren bereitzustellen, um heimlich geheimdienstliche Informationen zu sammeln und Nordkoreas strategische Interessen zu verfolgen.
Im August 2023 wurde ScarCruft mit einem Angriff auf das russische Raketenbauunternehmen NPO Mashinostroyeniya in Verbindung gebracht, zusammen mit der Lazarus-Gruppe, im Rahmen einer „äußerst begehrten strategischen Spionage mission“, die dazu diente, das umstrittene Raketenprogramm zu unterstützen.
Die jüngste Angriffskette, die von SentinelOne beobachtet wurde, zielte auf einen Experten für nordkoreanische Angelegenheiten ab, indem sie sich als Mitglied des Nordkorea Research Institute ausgab und den Empfänger aufforderte, eine ZIP-Archivdatei mit Präsentationsmaterialien zu öffnen.
Während sieben der neun Dateien im Archiv harmlos sind, sind zwei von ihnen bösartige Windows-Verknüpfungsdateien (LNK), die eine mehrstufige Infektionssequenz widerspiegeln, die zuvor von Check Point im Mai 2023 zur Verbreitung von RokRAT bekannt gegeben wurde.
Es gibt Hinweise darauf, dass einige der Personen, die um den 13. Dezember 2023 herum ins Visier genommen wurden, einen Monat zuvor am 16. November 2023 bereits einmal gezielt wurden.
SentinelOne gab bekannt, dass seine Untersuchung auch Malware aufgedeckt hat – zwei LNK-Dateien („inteligence.lnk“ und „news.lnk“) sowie Shellcode-Varianten, die RokRAT bereitstellen – die angeblich Teil der Planungs- und Testprozesse der Bedrohungsakteure sind.
Während die erstgenannte Verknüpfungsdatei nur die legitime Notepad-Anwendung öffnet, ebnet der über news.lnk ausgeführte Shellcode den Weg für die Bereitstellung von RokRAT, obwohl dieses Infektionsverfahren noch nicht in freier Wildbahn beobachtet wurde, was auf seine wahrscheinliche Verwendung für zukünftige Kampagnen hindeutet.
Dies zeigt, dass die Hackergruppe eines Nationalstaats aktiv ihre Vorgehensweise anpasst, vermutlich um der Entdeckung als Reaktion auf die öffentliche Offenlegung ihrer Taktiken und Techniken zu entgehen.
„ScarCruft ist darum bemüht, strategische Informationen zu erlangen und beabsichtigt möglicherweise, Einblicke in nicht-öffentliche Bedrohungsintelligenz und Verteidigungsstrategien zu gewinnen“, sagten die Forscher.
„Dies ermöglicht dem Gegner ein besseres Verständnis dafür, wie die internationale Gemeinschaft Entwicklungen in Nordkorea wahrnimmt und trägt somit zu den Entscheidungsprozessen Nordkoreas bei.“