N. Korean ScarCruft հաքերները շահագործում են LNK ֆայլերը

N. Korean ScarCruft հաքերները շահագործում են LNK ֆայլերը

Կիբերանվտանգության որոլտի փորձագետներն առաջարկել են առավել մանրամասն ուսումնասիրել RokRAT remote access trojan-ը, որն օգտագործվում է Հյուսիսային Կորեայի պետական համակարգի կողմից հովանավորվող հաքերի կողմից և հայտնի է ScarCruft անվանմամբ:

«RokRAT-ը remote access trojan-ի (RAT) բարդ տեսակ է, որը որակվել է որպես հարձակման շղթայի կարևոր բաղադրիչ: Այն հաքերներին հնարավորություն է տալիս ձեռք բերել չարտոնված մուտք, գաղտնազերծել գաղտնի տվյալները և կայուն վերահսկողություն ունենալ վտանգված համակարգերում», – նշում է ThreatMon-ը:

ScarCruft-ը որոլտում ակտիվ գործում է դեռևս 2012 թվականից: Այն կիբեր լրտեսական խումբ է, որը գործում է Հյուսիսային Կորեայի կառավարության անունից՝ բացառապես կենտրոնանալով հարավային գործընկերոջ թիրախային լսարանի վրա:

Ենթադրվում է, որ խումբը Հյուսիսային Կորեայի պետական անվտանգության նախարարությանը (MSS) ենթակա օղակ է: Խմբի կողմից իրականացված հարձակումները հիմնականում հենված են spear-phish մարտավարության վրա:

RokRAT

Ինչպես վկայում են AhnLab Security Emergency Responsion Center-ն (ASEC) ու Check Point-ը, հարձակման ընթացքում օգտագործել են LNK ֆայլեր՝ գործարկելու համակարգի վնասման multi-stage հաջորդականությունը, որն ի վերջո հանգեցրել է RokRAT malware-ի ամբողջական տեղակայմանը:

RokRAT-ը հաքերին թույլ է տալիս հավաքագրել համակարգի մետատվյալները, վերցնել սքրինշոթները, կատարել  կամայական հրամաններ և արտածել անհրաժեշտ ֆայլերը:

Հարձակումների մասին խոսվեց միայն այն ժամանակ, երբ ASEC-ը բացահայտեց ScarCruft-ի հարձակումը, որը որպես Hangul փաստաթուղթ օգտագործել էր Windows-ի masquerading-ը malware-ը հեռացնելու համար:

 

Աղբյուրը՝  https://thehackernews.com/