Il gruppo di minaccia APT37 della Corea del Nord sta fornendo nuove prove di come gli avversari siano passati all'utilizzo di LNK, o file di collegamento, per distribuire payload dannosi dopo che Microsoft ha iniziato a bloccare le macro per impostazione predefinita lo scorso anno per impedire la consegna di malware tramite i documenti di Office.
Check Point Research, che ha monitorato APT37 per anni, questa settimana ha riferito di aver visto l'autore della minaccia utilizzare file LNK per fornire un trojan di accesso remoto (RAT) soprannominato RokRAT su sistemi appartenenti a entità associate agli affari interni ed esteri della Corea del Sud.
Camuffato da documenti legittimi
I file LNK sono atterrati su sistemi bersaglio camuffati da documenti legittimi. In un attacco analizzato da Check Point, l'aggressore ha camuffato il file LNK dannoso come PDF e lo ha incluso in un archivio ZIP insieme a tre documenti legittimi, ma rubati, relativi all'industria petrolifera e del gas libica. In un attacco dell'aprile 2023, l'autore della minaccia ha utilizzato un ISO per inserire due LNK dannosi che pretendevano di contenere contenuti relativi alla diplomazia sudcoreana e alle decisioni politiche associate alla Corea del Nord.
I ricercatori di Check Point hanno scoperto che in entrambi i casi, quando un utente ha fatto clic sul file LNK, ha attivato l'esecuzione di uno script PowerShell che ha estratto un documento dall'LNK, lo ha rilasciato su disco e lo ha aperto. Il documento era un'esca che induceva le vittime a pensare di aver aperto un PDF legittimo o un file Hangul Word Processor (HWP) della Corea del Sud.
Tuttavia, in background, gli script PowerShell hanno anche estratto uno script BAT dall'LNK che, a sua volta, esegue un altro script PowerShell per scaricare un payload da OneDrive che ha portato all'installazione di RokRAT sul sistema.
Sergey Shykevich, responsabile del gruppo di informazioni sulle minacce presso Check Point, afferma che questo tipo di processo di consegna del malware in più fasi può rendere l'analisi più difficile per il difensore. Con il file LNK mascherato da file PDF, ad esempio, dopo che la vittima fa clic sul file LNK, carica una PowerShell che carica due file.
Il primo è un PDF legittimo che induce la vittima a pensare che vada tutto bene. L'altro è uno "script dannoso che esegue un nuovo PowerShell da uno specifico OneDrive e che esegue un payload che carica RokRAT", afferma. “Il multistaging rende più difficile tracciare l'intera catena di infezione e, se viene rilevato un malware nella rete, comprendere il vettore di infezione iniziale.
Cambiare le tattiche di infezione iniziale
APT37, noto anche come ScarCruft e Reaper, è attivo almeno dal 2012. Il gruppo è stato associato a numerose campagne nel corso degli anni, inclusa una soprannominata Operazione Alba mirato a obiettivi diplomatici sudcoreani, che sfruttava un bug zero-day e un altro che coinvolgeva una backdoor chiamata GoldBackdoor che ha preso di mira i giornalisti sudcoreani.
Il passaggio di APT37 all'utilizzo di file LNK per la consegna di malware fa parte di una tendenza che, in un certo senso, è iniziata sul serio quando Microsoft ha deciso di disabilitare le macro per impostazione predefinita sui file scaricati da Internet l'anno scorso. Prima che Microsoft annunciasse per la prima volta la sua decisione, nel febbraio 2022, circa il 31% di tutte le minacce macro coinvolte nei documenti di Office, secondo uno studio. Quel numero è diminuito drasticamente dopo che la decisione di Microsoft è entrata in vigore nella seconda metà del 2022, dopo che per un momento è sembrato che la società non passerebbe con il piano.
collegamento conchiglia, o file LNK, sono file di Windows che forniscono un collegamento ad altri file, cartelle e driver sul sistema. Facendo clic su un file LNK, un utente può aprire il file o l'app associati senza dover accedere manualmente all'app. I file LNK forniscono un modo conveniente per un utente di accedere a file e software utilizzati di frequente e sono generalmente considerati sicuri.
File LNK, attraente per gli aggressori informatici
Ma ci sono caratteristiche dei file LNK che lo rendono ideale per gli aggressori, dice Shykevich. "L'efficacia di LNK è principalmente dovuta al fatto che l'attaccante può far sembrare il file LNK come quasi qualsiasi altro tipo di file", afferma. Come esempi indica i file PDF e Doc. "Permette inoltre all'attaccante di eseguire facilmente diversi tipi di script [come] gli script BAT nel caso di APT37", osserva Shykevich. La sfida più grande per l'utente è prestare sufficiente attenzione a tali file e assicurarsi che siano effettivamente file LNK.
Nell'ultimo anno, gli aggressori hanno utilizzato i file LNK per fornire malware come Emotet, IcedID e Quakbot, hanno notato McAfee e altri. Gli attacchi hanno coinvolto attori delle minacce che utilizzano spam, e-mail di phishing e URL dannosi per consegnare gli LNK agli utenti. La crescente adozione da parte degli aggressori della tattica ha anche generato una serie di strumenti di generazione di collegamenti commerciali per creare file LNK dannosi. Alcuni esempi di questi strumenti includono Costruttore Quantum Lnk, che ha iniziato a essere spedito lo scorso anno a tariffe che vanno da circa $ 200 al mese a circa $ 1,600 per l'accesso a vita, Costruttore MLNK disponibile per $ 125 per build e Pacchetto macro.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/north-korean-apt-gets-around-macro-blocking-with-lnk-switch-up
