Ein staatlich unterstützter Bedrohungsakteur mit Verbindungen zur Demokratischen Volksrepublik Korea (DRPK) wurde für eine Spearphishing-Kampagne verantwortlich gemacht, die auf Journalisten abzielte, die über das Land berichteten, mit dem Ziel, eine Hintertür auf infizierten Windows-Systemen einzurichten.
Die Einbrüche, für die Ricochet Chollima verantwortlich sein soll, führten zur Verbreitung eines neuen Malware-Stammes namens GOLDBACKDOOR, der technische Überschneidungen mit einer anderen Malware namens BLUELIGHT aufweist, die bereits früher mit der Gruppe in Verbindung gebracht wurde.
„Journalisten sind hochwertige Ziele für feindliche Regierungen“, so das Cybersicherheitsunternehmen Stairwell in einem Bericht, der letzte Woche veröffentlicht wurde. „Wenn ein Journalist kompromittiert wird, kann er Zugang zu hochsensiblen Informationen erhalten und weitere Angriffe auf seine Quellen durchführen.
Ricochet Chollima, auch bekannt als APT37, InkySquid und ScarCruft, ist ein aus Nordkorea stammender Angreifer, der mindestens seit 2016 in Spionageangriffe verwickelt ist. Der Bedrohungsakteur hat es auf die Republik Korea abgesehen und konzentriert sich dabei auf Regierungsbeamte, Nichtregierungsorganisationen, Akademiker, Journalisten und nordkoreanische Überläufer.
Im November 2021 deckte Kaspersky Beweise dafür auf, dass die Hacker-Crew im Rahmen einer neuen Welle von gezielten Überwachungsangriffen ein bisher nicht dokumentiertes Implantat namens Chinotto einführte.
Stairwells Untersuchung der Kampagne kommt Wochen nachdem NK News aufgedeckt hatte, dass die Köder-Nachrichten von einer persönlichen E-Mail-Adresse eines ehemaligen südkoreanischen Geheimdienstmitarbeiters verschickt wurden, was schließlich zur Bereitstellung der Backdoor in einem mehrstufigen Infektionsprozess führte, um der Entdeckung zu entgehen.
Die E-Mail-Nachrichten enthielten einen Link zum Herunterladen eines ZIP-Archivs von einem entfernten Server, der sich als das auf Nordkorea spezialisierte Nachrichtenportal ausgab. In der Datei ist eine Windows-Verknüpfungsdatei eingebettet, die als Absprungpunkt für die Ausführung des PowerShell-Skripts dient, das ein Täuschungsdokument öffnet und gleichzeitig die GOLDBACKDOOR-Backdoor installiert.
Das Implantat seinerseits ist als Portable Executable-Datei gestaltet, die Befehle von einem Remote-Server abrufen, Dateien hoch- und herunterladen, Dateien aufzeichnen und sich aus der Ferne von den kompromittierten Computern deinstallieren kann.
„In den letzten zehn Jahren hat die Demokratische Volksrepublik Korea (DVRK) Cyberoperationen zu einem wichtigen Mittel zur Unterstützung des Regimes gemacht“, sagt Silas Cutler von Stairwell.
„Während der angeblichen Nutzung dieser Operationen zur Finanzierung der Militärprogramme der DVRK große Aufmerksamkeit geschenkt wurde, bleibt die gezielte Bekämpfung von Forschern, Dissidenten und Journalisten wahrscheinlich ein Schlüsselbereich für die Unterstützung der Geheimdienstoperationen des Landes.“