24/01/24
Исследователи SentinelOne сообщили, что группа экспериментирует с новыми способами заражения, используя в качестве ловушки отчёты о технических угрозах. Из этого можно сделать вывод, что хакеры нацелились на специалистов в области кибербезопасности, регулярно изучающих разведданные.
Securitylab указывает, что ScarCruft, известная также под кодовыми названиями APT37, InkySquid, RedEyes, Ricochet Chollima и Ruby Sleet, предположительно связана с Министерством государственной безопасности Северной Кореи. Это отличает её от групп Lazarus и Kimsuky, которые, как считается, являются частью Главного разведывательного управления КНДР. Основной целью ScarCruft, по информации исследователей, является сбор разведданных, в том числе через фишинговые атаки, для удовлетворения стратегических интересов КНДР.
Недавно северокорейские государственные СМИ сообщили о тестировании «подводной ядерной системы вооружений» в ответ на учения США, Южной Кореи и Японии вблизи Корейского полуострова. Свежая кибератака ScarCruft, зафиксированная экспертами SentinelOne, была нацелена на иностранного эксперта по КНДР, которому по почте был отправлен ZIP-архив, якобы содержащий презентационные материалы.
Семь файлов из девяти в этом архиве оказались безвредными, а вот оставшиеся два были вредоносными ярлыками Windows (LNK), используемыми для распространения вредоносного программного обеспечения RokRAT. Похожий многоэтапный процесс заражения таким же вредоносом уже был описан компанией Check Point в мае 2023 года.
Тем не менее, ScarCruft регулярно меняет свои методы в попытке обойти обнаружение после публичных раскрытий тактик группировки. По словам исследователей, ScarCruft стремится к сбору стратегических разведданных и, возможно, намерена получить представление о непубличной кибербезопасности и стратегиях обороны других стран.
«Это позволяет атакующим лучше понять, как международное сообщество воспринимает события в КНДР, и тем самым способствует процессам принятия решений внутри страны», — говорится в исследовании.
