威胁情报信息分享|ScarCruft黑客利用Ably服务进行隐蔽窃听攻击

被称为ScarCruft的朝鲜威胁行为者被观察到使用一种具有先前未记录的窃听功能的信息窃取恶意软件，以及使用Golang开发的利用Ably实时消息服务的后门。

"AhnLab安全应急响应中心(ASEC)在一份技术报告中说，"威胁行为者通过使用Ably服务的Golang后门发送了他们的命令。"用于命令通信的API密钥值被保存在GitHub仓库中。"

ScarCruft是一个由国家赞助的团队，与朝鲜的国家安全部(MSS)有关联。它至少从2012年开始就一直活跃。

该组织的攻击链包括使用鱼叉式网络钓鱼诱饵来发送RokRAT，尽管它已经利用了广泛的其他定制工具来收集敏感信息。

在ASEC最近检测到的一次入侵中，电子邮件带有一个Microsoft编译的HTML帮助(.CHM)文件--一种在2023年3月首次报告的策略--当点击时，它联系远程服务器下载一个名为Chinotto的PowerShell恶意软件。

Chinotto除了负责建立持久性、检索额外的有效载荷之外，还包括一个名为AblyGo (又名Kaspersky的SidLevel)的后门，该后门滥用Ably API服务进行命令和控制。

此外，AblyGo被用作最终执行一种名为FadeStealer的信息窃取恶意软件的通道，该恶意软件具有各种功能，可以截取屏幕快照，收集来自可移动媒体和智能手机的数据，记录键盘敲击，并录制麦克风。

"RedEyes组织针对特定个体进行攻击，如朝鲜脱北者、人权活动家和大学教授，"ASEC说。"他们的主要关注点是信息盗窃。"

"未经授权的对韩国个人进行窃听被视为侵犯隐私，且在相关法律下被严格规制。尽管如此，威胁行为者监控了受害者在PC上做的一切，甚至进行了窃听。"

CHM文件也被其他与朝鲜有关的团体如Kimsuky所使用，SentinelOne最近披露了一次利用文件格式来传送一个名为RandomQuery的侦察工具的活动。

在ASEC发现的一系列新的攻击中，CHM文件被配置为放下一个BAT文件，然后用于下载下一阶段的恶意软件并从被攻击的主机中窃取用户信息。

根据美国和韩国情报机构的一项建议，鱼叉式网络钓鱼一直是Kimsuky的首选初始接入技术，这通常是在广泛研究和精细准备之后进行的。

这些发现也跟随着Lazarus Group对INISAFE CrossWeb EX, MagicLine4NX, TCO!Stream和VestCert等在韩国广泛使用的软件的安全漏洞的积极利用，以侵入公司和部署恶意软件。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|ScarCruft黑客利用Ably服务进行隐蔽窃听攻击