CORALDECK
Es ist bekannt, dass die nordkoreanische Regierung die Dienste von Hackern in Anspruch nimmt. Kürzlich ist neben der bekannten Lazarus-Hacking-Gruppe ein neuer Schauspieler aufgetaucht, der ScarCruft APT (Advanced Persistent Threat). Diese Hacking-Gruppe wird auch oft als APT37 bezeichnet. Sie scheinen sich hauptsächlich an hochrangige Südkoreaner zu richten. Malware-Forscher haben jedoch APT31-Kampagnen im Nahen Osten sowie in Vietnam und Japan entdeckt. Es ist wahrscheinlich, dass die ScarCruft-Hacking-Gruppe im Jahr 2015 ihre Arbeit aufgenommen hat.
Inhaltsverzeichnis
Präferenz für Stealth
Die ScarCruft-Gruppe tendiert dazu, bei ihren Operationen besonderes Augenmerk auf Stealth zu legen. Eine weitere Signaturkomponente der APT37- Operationen ist die Erfassung wichtiger Informationen vom Host. Eines der wichtigsten Tools, mit denen die Hacking-Gruppe Daten sammelt, ist die CORALDECK-Malware. Die erste Kampagne mit dem CORALDECK-Tool wurde bereits in den ersten Monaten des Jahres 2016 gestartet und konnte ihre höchste Aktivität über einen Zeitraum von mehr als vier Monaten aufrechterhalten.
Zielt auf bestimmte Dateitypen und Dateinamen ab
Die CORALDECK-Bedrohung kann als Infostealer eingestuft werden. Dieser Infostealer ist keine sehr komplexe Bedrohung, und die ScarCruft-Hacking-Gruppe tendiert dazu, ihn zusammen mit anderen Hacking-Tools zu verwenden, um maximale Effizienz zu erzielen. Der CORALDECK Infostealer ist darauf zugeschnitten, nach bestimmten Dateitypen oder Dateien mit bestimmten Namen zu suchen. Dies ist ein etwas anderer Ansatz, da die meisten Infostealing-Tools vertrauliche Informationen wie Kreditkartendaten und Anmeldeinformationen verwenden. Die von der APT37-Gruppe verwendete Methode lässt Malware-Forscher glauben, dass die Angreifer die Dateien auf dem System durchsuchen, die Dateien auswählen, die sie erhalten möchten, und das CORALDECK-Tool verwenden, um an die Zieldaten zu gelangen.
Archiviert die gesammelten Daten
Während eines Angriffs wird eine HTTP-POST-Anforderung an den Server des Angreifers gesendet, die es dem CORALDECK-Infostealer ermöglicht, die relevanten Informationen mithilfe einer fest codierten Extraktionstechnik zu sammeln. Sobald es der Bedrohung gelungen ist, die Zieldaten abzurufen, werden diese in einer mit einem Kennwort gesicherten .RAR- oder .ZIP-Archivdatei archiviert. Der CORALDECK ist auch dafür bekannt, eine tragbare ausführbare Datei der WinRAR-Archivierungssoftware zu führen.
Das große Arsenal an Hacking-Tools und ihre Kampagnen für hochkarätige Persönlichkeiten haben die ScarCruft APT mit Sicherheit auf die Landkarte gebracht. Die Tatsache, dass das APT37 von der nordkoreanischen Regierung finanziert wird, sollte die Regierungen auf der ganzen Welt beunruhigen, da diese Hacking-Gruppe von Tag zu Tag mehr an Zugkraft gewinnt.
