Severokórejskí hackeri cielili na svojho južného suseda pomocou Wordu

Severokórejskí hackeri cielili na svojho južného suseda pomocou Wordu

Výskumníci z MalwareBytes publikovali blog s analýzou škodlivého dokumentu, ktorý objavili na portáli Virus Total. Jeho obeťou sa začiatkom minulého roka mohli stať predstavitelia vlády Južnej Kórei.

Spear-phishingová kampaň, ktorá potenciálne obete oslovovala s podvodnou žiadosťou o stretnutie, bola pripísaná skupine severokórejských hekerov APT37, známej aj ako Starcruft, Ricochet, Chollima alebo Reaper.

Škodlivý dokument / Zdroj: MalwareBytes

Hackeri mali použiť techniku samodekódovania súborov, ktorú bezpečnostní výskumníci označili za šikovnú voľbu. Je totiž schopná obísť niekoľko mechanizmov statickej detekcie a skryť hlavný zámer škodlivého dokumentu.

V správe uviedli, že súbor obsahuje vložené makro, ktoré spustí samodekódovanie VBA, programovacieho jazyka balíka Office, a to bez zápisu na disk. Výsledkom do implementácia trojana RokRat do klasického poznámkového bloku.

Technika samodekódovania / Zdroj: MalwareBytes

Malvér RokRat je typický práve pre severokórejských hackerov APT37, ktorí ho využívajú približne od roku 2017. Táto konkrétna verzia slúžila na kradnutie dát obetí a ich odosielanie do rozličných cloudových služieb.

Skúšajú, kde to ide

ATP37 sa dlhodobo zameriava na široké spektrum verejného i súkromného sektora. V minulosti išlo napríklad o subjekty pôsobiace v oblastiach ako chemikálie, elektronika, výroba, kozmický priestor, automobilový priemysel či zdravotníctvo.

Lokalizácia obetí ich aktivít sa okrem Južnej Kórey časom rozšírila aj o Japonsko, Vietnam, Rusko, Nepál, Čínu, Indiu, Rumunsko, Kuvajt a ďalšie oblasti Blízkeho východu.

Súčasťou portfólia severokórejskej skupiny malo byť taktiež zhromažďovanie spravodajských informácií z prostredia investičných a obchodných spoločností vo Vietname a Rusku a diplomatickej agentúry v Hongkongu.


Klára Kaničárová