يستخدم ممثل التهديد المستمر الكوري الشمالي (APT) الملقب بـ ScarCruft ملفات Microsoft Compiled HTML Help (CHM) المُسلَّحة لتنزيل برامج ضارة إضافية.
وفقًا لتقارير متعددة من مركز الاستجابة للطوارئ الأمنية AhnLab ( ASEC ) و SEKOIA.IO و Zscaler ، فإن النتائج توضح جهود المجموعة المستمرة لتحسين تكتيكاتها وإعادة تجهيزها لتجنب الاكتشاف.
قال باحثو Zscaler سوديب سينغ ونافين سيلفان في تحليل جديد نُشر يوم الثلاثاء: "تعمل المجموعة باستمرار على تطوير أدواتها وتقنياتها وإجراءاتها أثناء تجربة تنسيقات وأساليب ملفات جديدة لتجاوز بائعي الأمن".
ScarCruft ، الذي تم تتبعه أيضًا تحت أسماء APT37 و Reaper و RedEyes و Ricochet Chollima ، أظهر وتيرة تشغيلية متزايدة منذ بداية العام ، مستهدفًا كيانات كورية جنوبية مختلفة لأغراض التجسس. من المعروف أنه نشط منذ عام 2012 على الأقل.
في الشهر الماضي ، كشفت ASEC عن حملة استخدمت ملفات HWP التي تستفيد من ثغرة أمنية في برنامج معالجة الكلمات Hangul لنشر باب خلفي يُشار إليه باسم M2RAT .
لكن النتائج الجديدة تكشف أن الجهة المهددة تستخدم أيضًا تنسيقات ملفات أخرى مثل CHM و HTA و LNK و XLL ومستندات Microsoft Office القائمة على الماكرو في هجمات التصيد بالرمح ضد أهداف كورية جنوبية.
تتضمن بعض الإمكانات الجديدة لـ Chinotto التقاط لقطات شاشة كل خمس ثوانٍ وتسجيل ضغطات المفاتيح. يتم حفظ المعلومات الملتقطة في أرشيف مضغوط وإرسالها إلى خادم بعيد.
تأتي الرؤى حول نواقل الهجوم المختلفة لـ ScarCruft من مستودع GitHub الذي تحتفظ به مجموعة الخصوم لاستضافة حمولات ضارة منذ أكتوبر 2020.
قال باحثو Zscaler: "كان ممثل التهديد قادرًا على الاحتفاظ بمستودع GitHub ، حيث يقوم بشكل متكرر بحمولات ضارة لأكثر من عامين دون أن يتم اكتشافه أو إزالته".
خارج توزيع البرامج الضارة ، لوحظ أيضًا أن ScarCruft يقدم صفحات ويب تصيد بيانات الاعتماد التي تستهدف العديد من خدمات البريد الإلكتروني والسحابة مثل Naver و iCloud و Kakao و Mail.ru و 163.com.
اكتشف SEKOIA.IO أيضًا قطعة من البرامج الضارة تسمى AblyGo ، وهو باب خلفي مكتوب في Go يستخدم إطار عمل المراسلة في الوقت الفعلي Ably لتلقي الأوامر.
يبدو أن استخدام ملفات آلية تبادل المعلومات لتهريب البرامج الضارة يتزايد مع المجموعات الأخرى التابعة لكوريا الشمالية أيضًا ، حيث كشفت ASEC عن حملة تصيد نظمتها Kimsuky لتوزيع باب خلفي مسؤول عن حصاد بيانات الحافظة وتسجيل ضغطات المفاتيح.