A Kaspersky kutatómunkája nyomán derült ki, hogy egy ScarCruft nevű csoport áll a háttérben, egy fejlett állandó fenyegetéseket (APT) alkalmazó, nemzetállam által szponzorált támadócsoport, amely arról ismert, hogy főként a Koreai-félszigethez kapcsolódó kormányzati szervezeteket, észak-koreai disszidenseket és helyi újságírókat figyel meg.
A Kasperskyt nemrégiben egy helyi hírszolgáltató kereste meg azzal a kéréssel, hogy nyújtsanak nekik műszaki segítséget a kiberbiztonsági vizsgálataikhoz, így a kutatóknak alkalmuk nyílt mélyrehatóbban megvizsgálni egy ScarCruft által feltört számítógépet. A Kaspersky szakemberei a helyi vészhelyzet-elhárító csapattal együttműködve vizsgálták meg a támadók parancs- és vezérlő infrastruktúráját. Az elemzés során a szakemberek egy alaposan kidolgozott, célzott kampányt fedeztek fel, amelyet a ScarCruft csoport az Észak-Koreához kapcsolódó felhasználókra összpontosított.
A vizsgálat eredményeképpen a Kaspersky szakértői felfedeztek egy Chinotto névre keresztelt rosszindulatú futtatható Windows-fájlt. A malware három verzióban érhető el: PowerShell, futtatható Windows-fájl és androidos alkalmazás. Mind a három verzió hasonló, HTTP kommunikáción alapuló parancs- és vezérlősémát használ. Ez azt jelenti, hogy a malware működtetői az egész malware-családot egyetlen parancs- és vezérlőszkript-készlettel tudják vezérelni.
Az áldozat számítógépének és telefonjának egyidejű megfertőzésekor a malware működtetője ki tudja küszöbölni a kéttényezős hitelesítést az üzenetküldőkben vagy a levelezésben, mégpedig úgy, hogy ellopja az sms-eket a telefonról. Ezt követően a működtető már bármilyen őt érdeklő információt el tud lopni és folytatni tudja a támadásokat, például az áldozat ismerősei vagy üzletipartnerei ellen.
A malware egyik jellemzője, hogy rengeteg szemétkódot tartalmaz az elemzés akadályozása érdekében. Megtölti a puffert jelentéktelen adatokkal, és sohasem használja őket.
A vizsgált számítógépet PowerShell malware-rel fertőzték meg, és a Kaspersky szakemberei bizonyítékot találtak arra, hogy a támadó már ellopta az áldozat adatait, és már hónapok óta nyomon követi a cselekedeteit. Bár a Kaspersky szakértői nem tudják pontosan megbecsülni az ellopott adatok mennyiségét és jellegét, azt tudják, hogy a malware működtetője 2021 júliusában és augusztusában képernyőfotókat gyűjtött be, és azokból nyert ki adatokat.
A támadó először az áldozat ellopott Facebook-fiókja segítségével kapcsolatba lépett az áldozat egyik ismerősével, akinek szintén egy Észak-Koreához köthető vállalkozása van. Ezt követően a kapcsolatot felhasználva információkat gyűjtött az ismerős tevékenységeiről, majd később megtámadta őt egy célzott adathalász e-maillel, amely egy rosszindulatú Word-dokumentumot tartalmazott a következő címmel: „A legfrissebb észak-koreai helyzet és nemzetbiztonságunk”.
A dokumentum egy rosszindulatú makrót és egy payloadot tartalmazott egy többlépcsős támadási folyamat elindításához. Ha feltelepül a rendszerre, a makró megbízható hozzáférést tesz lehetővé a Visual Basic alkalmazás (VBA) számára. Ennek eredményeképpen a Microsoft Office minden makróban meg fog bízni, és minden kódot lefuttat anélkül, hogy biztonsági figyelmeztetést jelenítene meg, vagy a felhasználó engedélyét kérné. Amennyiben a gépre nincs megfelelő biztonsági szoftver telepítve, a makró egyenesen továbblép a következő lépcső payloadjának dekódolására. A támadók később, a kezdeti fertőzés után a Chinotto malware-t is telepítették, így át tudták venni az irányítást az áldozatok gépei felett, és érzékeny információkat tudtak kinyerni belőlük.
Az elemzés során a Kaspersky szakemberei másik négy, szintén Dél-Koreában található áldozatot is beazonosítottak, valamint feltört webszervereket is találtak, melyeket már 2021 eleje óta használtak. A kutatás szerint a fenyegetés célpontjai személyek, nem pedig konkrét vállalatok vagy szervezetek.
A ScarCrufttal foglalkozó teljes jelentés a Securelist oldalon olvasható.