Aktor ancaman terkait Korea Utara yang dikenal sebagai Scarcruft dikatakan berada di balik alat pengawasan Android yang belum pernah dilihat sebelumnya Kospy Menargetkan pengguna Korea dan berbahasa Inggris.
Lookout, yang membagikan rincian kampanye malware, mengatakan versi paling awal tanggal kembali ke Maret 2022. Sampel terbaru ditandai pada Maret 2024. Tidak jelas seberapa sukses upaya ini.
“Kospy dapat mengumpulkan data yang luas, seperti pesan SMS, log panggilan, lokasi, file, audio, dan tangkapan layar melalui plugin yang dimuat secara dinamis,” kata perusahaan itu dalam sebuah analisis.
Artefak jahat menyamar sebagai aplikasi utilitas di Google Play Store resmi, menggunakan manajer file nama, manajer telepon, manajer pintar, utilitas pembaruan perangkat lunak, dan keamanan Kakao untuk menipu pengguna yang tidak menyangka dalam menginfeksi perangkat mereka sendiri.
Semua aplikasi yang diidentifikasi menawarkan fungsionalitas yang dijanjikan untuk menghindari meningkatkan kecurigaan sementara secara diam-diam menggunakan komponen yang berhubungan dengan spyware di latar belakang. Aplikasi tersebut telah dihapus dari pasar aplikasi.
Scarcruft, juga disebut APT27 dan Reaper, adalah kelompok spionase cyber yang disponsori negara Korea Utara yang aktif sejak 2012. Rantai serangan yang diatur oleh kelompok terutama memanfaatkan Rokrat sebagai sarana untuk memanen data sensitif dari sistem Windows. Sejak itu Rokrat telah diadaptasi untuk menargetkan macOS dan Android.
Aplikasi Android berbahaya, setelah diinstal, direkayasa untuk menghubungi basis data Cloud Firebase Firestore untuk mengambil konfigurasi yang berisi alamat server perintah-dan-kontrol (C2) yang sebenarnya.
Dengan menggunakan layanan yang sah seperti Firestore sebagai Dead Drop Resolver, pendekatan C2 dua tahap menawarkan fleksibilitas dan ketahanan, yang memungkinkan aktor ancaman untuk mengubah alamat C2 kapan saja dan beroperasi tidak terdeteksi.
“Setelah mengambil alamat C2, Kospy memastikan perangkat itu bukan emulator dan bahwa tanggal saat ini sudah melewati tanggal aktivasi hardcoded,” kata Lookout. “Pemeriksaan tanggal aktivasi ini memastikan bahwa spyware tidak mengungkapkan niat jahatnya sebelum waktunya.”
Kospy mampu mengunduh plugin tambahan serta konfigurasi untuk memenuhi tujuan pengawasannya. Sifat pasti dari plugin masih belum diketahui karena server C2 tidak lagi aktif atau tidak menanggapi permintaan klien.
Malware ini dirancang untuk mengumpulkan berbagai data dari perangkat yang dikompromikan, termasuk pesan SMS, log panggilan, lokasi perangkat, file dalam penyimpanan lokal, tangkapan layar, penekanan tombol, informasi jaringan Wi-Fi, dan daftar aplikasi yang diinstal. Ini juga diperlengkapi untuk merekam audio dan mengambil foto.
Lookout mengatakan itu mengidentifikasi infrastruktur yang tumpang tindih antara kampanye Kospy dan yang sebelumnya terkait dengan kelompok peretasan Korea Utara lainnya yang disebut Kimsuky (alias APT43).
Wawancara menular bermanifestasi sebagai paket NPM
Pengungkapan itu datang ketika Socket menemukan satu set enam paket NPM yang dirancang untuk menggunakan malware mencuri informasi yang diketahui yang disebut Beavertail, yang terkait dengan kampanye Korea Utara yang sedang berlangsung yang dilacak sebagai wawancara menular. Daftar paket yang sekarang dikeluarkan di bawah ini –
- IS-Buffer-Validator
- Yoojae-Validator
- Paket-panduan acara
- Validator Array-EMPTY
- Bereaksi-Event-Dependency
- Auth-validator
Paket -paket ini dirancang untuk mengumpulkan detail lingkungan sistem, serta kredensial yang disimpan di browser web seperti Google Chrome, Brave, dan Mozilla Firefox. Ini juga menargetkan dompet cryptocurrency, mengekstraksi id.json dari Solana dan Keluaran.Wallet dari Keluaran.
“Enam paket baru-diunduh secara kolektif lebih dari 330 kali-secara erat meniru nama-nama perpustakaan yang dipercaya secara luas, menggunakan taktik typosquatting terkenal yang digunakan oleh aktor ancaman terkait Lazarus untuk menipu pengembang,” kata peneliti soket Kirill Boychenko.
“Selain itu, grup APT membuat dan memelihara repositori gitub untuk lima paket jahat, meminjamkan penampilan legitimasi open source dan meningkatkan kemungkinan kode berbahaya yang diintegrasikan ke dalam alur kerja pengembang.”
Kampanye Korea Utara menggunakan Rustdoor dan Koi Stealer
Temuan ini juga mengikuti penemuan kampanye baru yang telah ditemukan menargetkan sektor cryptocurrency dengan malware macOS berbasis karat yang disebut Rustdoor (alias Thiefbucket) dan varian macOS yang sebelumnya tidak berdokumen dari keluarga malware yang dikenal sebagai Koi Stealer.
Palo Alto Networks Unit 42 mengatakan karakteristik penyerang memiliki kesamaan dengan wawancara menular, dan bahwa itu menilai dengan keyakinan sedang bahwa kegiatan itu dilakukan atas nama rezim Korea Utara.
Secara khusus, rantai serangan melibatkan penggunaan proyek wawancara kerja palsu yang, ketika dieksekusi melalui Microsoft Visual Studio, mencoba mengunduh dan mengeksekusi Rustdoor. Malware kemudian melanjutkan untuk mencuri kata sandi dari ekstensi Google Chrome LastPass, exfiltrate data ke server eksternal, dan mengunduh dua skrip Bash tambahan untuk membuka shell terbalik.
Tahap terakhir dari infeksi ini melibatkan pengambilan dan pelaksanaan muatan lain, versi MacOS dari pencuri KOI yang menyamar sebagai Visual Studio untuk menipu para korban agar memasukkan kata sandi sistem mereka, sehingga memungkinkannya untuk mengumpulkan dan mengeluarkan data dari mesin.
“Kampanye ini menyoroti risiko yang dihadapi organisasi di seluruh dunia dari serangan teknik sosial yang rumit yang dirancang untuk menyusup ke jaringan dan mencuri data sensitif dan cryptocurrency,” kata peneliti keamanan Adva Gabay dan Daniel Frank. “Risiko ini diperbesar ketika pelaku adalah aktor ancaman negara-bangsa, dibandingkan dengan kejahatan dunia maya yang murni yang dimotivasi secara finansial.”
