Cyberthreat.id - Aktor ancaman Korea Utara yang dikenal sebagai ScarCruft diamati menggunakan malware pencuri informasi dengan fitur penyadapan tidak berdokumen sebelumnya serta pintu belakang yang dikembangkan menggunakan Golang yang mengeksploitasi layanan pesan real-time Ably.

"Aktor ancaman mengirim perintah mereka melalui pintu belakang Golang yang menggunakan layanan Ably," kata Pusat Tanggap Darurat Keamanan AhnLab (ASEC) dalam laporan teknis sebagaimana dikutip The Hacker News. "Nilai kunci API yang diperlukan untuk komunikasi perintah disimpan di repositori GitHub."

ScarCruft adalah organisasi yang disponsori negara yang memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara. Ini diketahui aktif setidaknya sejak 2012.

Rantai serangan yang dipasang oleh grup memerlukan penggunaan umpan spear-phishing untuk mengirimkan RokRAT, meskipun telah memanfaatkan berbagai alat khusus lainnya untuk memanen informasi sensitif.

Dalam intrusi terbaru yang terdeteksi oleh ASEC, email tersebut datang dengan file Microsoft Compiled HTML Help (.CHM) -- taktik yang pertama kali dilaporkan pada Maret 2023 -- bahwa, ketika diklik, menghubungi server jarak jauh untuk mengunduh malware PowerShell yang dikenal sebagai Chinotto.

Chinotto, selain bertanggung jawab untuk menyiapkan persistensi, mengambil muatan tambahan, termasuk pintu belakang dengan nama kode AblyGo (alias SidLevel oleh Kaspersky) yang menyalahgunakan layanan API Ably untuk perintah-dan-kontrol.

Itu tidak berakhir di sana, karena AblyGo digunakan sebagai saluran untuk akhirnya mengeksekusi malware pencuri informasi yang dijuluki FadeStealer yang hadir dengan berbagai fitur untuk mengambil tangkapan layar, mengumpulkan data dari media dan smartphone yang dapat dilepas, mencatat penekanan tombol, dan merekam mikrofon.

"Kelompok RedEyes melakukan serangan terhadap individu tertentu seperti pembelot Korea Utara, aktivis hak asasi manusia, dan profesor universitas," kata ASEC. "Fokus utama mereka adalah pencurian informasi."

"Menguping secara tidak sah terhadap individu di Korea Selatan dianggap sebagai pelanggaran privasi dan diatur secara ketat di bawah undang-undang yang relevan. Meskipun demikian, pelaku ancaman memantau semua yang dilakukan korban di PC mereka dan bahkan melakukan penyadapan."

File CHM juga telah digunakan oleh kelompok lain yang berafiliasi dengan Korea Utara seperti Kimsuky, dengan SentinelOne mengungkapkan kampanye baru-baru ini yang memanfaatkan format file untuk memberikan alat pengintaian yang disebut RandomQuery.

Dalam serangkaian serangan baru yang ditemukan oleh ASEC, file CHM dikonfigurasikan untuk menjatuhkan file BAT, yang kemudian digunakan untuk mengunduh malware tahap berikutnya dan mengekstraksi informasi pengguna dari host yang disusupi.

Spear-phishing, yang telah menjadi teknik akses awal yang disukai Kimsuky selama lebih dari satu dekade, biasanya didahului dengan penelitian luas dan persiapan yang cermat, menurut penasehat dari badan intelijen AS dan Korea Selatan.

Temuan ini juga mengikuti eksploitasi aktif Lazarus Group atas kelemahan keamanan dalam perangkat lunak seperti INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream, dan VestCert yang banyak digunakan di Korea Selatan untuk menerobos perusahaan dan menyebarkan malware.[]