28/04/22
Журналисты американского новостного сайта о Северной Корее NK News разоблачили атаки группы APT37 (она же Ricochet Chollima, Reaper, Group123 и ScarCruft) на журналистов КНДР с помощью новой вредоносной программы.
NK News с помощью исследователей из Stairwell обнаружили новое вредоносное ПО GOLDBACKDOOR.
“18 марта 2022 года NK News поделилась вредоносной группой скриптов с экспертами из Stairwell Threat, полученными в результате фишинг-кампании против журналистов из КНДР. Сообщения были отправлены с личной электронной почты бывшего директора Национальной разведывательной службы Южной Кореи (NIS).” – говорится в отчете Stairwell. “Одним из этих скриптов был новый образец вредоносного ПО, который мы назвали GOLDBACKDOOR.
По мнению экспертов Stairwell, новая вредоносная программа является преемником бэкдора BLUELIGHT, применяемым APT37, или используется параллельно с ним.
Бэкдор GOLDBACKDOOR развертывается на заключительном этапе многоступенчатого процесса, чтобы избежать обнаружения.
Отправленные журналистам фишинговые сообщения содержали ссылку на ZIP-архивы с LNK-файлами под названием "Правки Кан Мин Чхоля" (министр горнодобывающей промышленности Северной Кореи).
Архив был размещен по адресу 142.93.201[.]77 на домене dailynk[.]us, похожий на NK News (dailynk[.]com).
При открытии LNK-файла выполнялся сценарий PowerShell и открывал документ-приманку, содержащий ссылку на внешнее изображение с облачной платформы Heroku. При переходе пользователя по ссылке злоумышленники могли получать предупреждение при просмотре файла.
“После развертывания приманки сценарий PowerShell декодирует с помощью Invoke-Control второй сценарий, закодированный в шестнадцатеричном формате в переменной $temple. Второй сценарий PowerShell выполняет полезную нагрузку, хранящуюся в Microsoft OneDrive. Во время анализа эта полезная нагрузка была названа Fantasy.” – докладывают исследователи.
Fantasy является первой частью процесса развертывания вредоносного ПО.
