Výskumníci z MalwareBytes publikovali blog s analýzou škodlivého dokumentu, ktorý objavili na portáli Virus Total. Jeho obeťou sa začiatkom minulého roka mohli stať predstavitelia vlády Južnej Kórei.
Spear-phishingová kampaň, ktorá potenciálne obete oslovovala s podvodnou žiadosťou o stretnutie, bola pripísaná skupine severokórejských hekerov APT37, známej aj ako Starcruft, Ricochet, Chollima alebo Reaper.
Škodlivý dokument / Zdroj: MalwareBytes
Hackeri mali použiť techniku samodekódovania súborov, ktorú bezpečnostní výskumníci označili za šikovnú voľbu. Je totiž schopná obísť niekoľko mechanizmov statickej detekcie a skryť hlavný zámer škodlivého dokumentu.
V správe uviedli, že súbor obsahuje vložené makro, ktoré spustí samodekódovanie VBA, programovacieho jazyka balíka Office, a to bez zápisu na disk. Výsledkom do implementácia trojana RokRat do klasického poznámkového bloku.
Technika samodekódovania / Zdroj: MalwareBytes
Malvér RokRat je typický práve pre severokórejských hackerov APT37, ktorí ho využívajú približne od roku 2017. Táto konkrétna verzia slúžila na kradnutie dát obetí a ich odosielanie do rozličných cloudových služieb.
Skúšajú, kde to ide
ATP37 sa dlhodobo zameriava na široké spektrum verejného i súkromného sektora. V minulosti išlo napríklad o subjekty pôsobiace v oblastiach ako chemikálie, elektronika, výroba, kozmický priestor, automobilový priemysel či zdravotníctvo.
Lokalizácia obetí ich aktivít sa okrem Južnej Kórey časom rozšírila aj o Japonsko, Vietnam, Rusko, Nepál, Čínu, Indiu, Rumunsko, Kuvajt a ďalšie oblasti Blízkeho východu.
Súčasťou portfólia severokórejskej skupiny malo byť taktiež zhromažďovanie spravodajských informácií z prostredia investičných a obchodných spoločností vo Vietname a Rusku a diplomatickej agentúry v Hongkongu.
Klára Kaničárová