Een door de staat gesteunde dreigingsactor met banden met de Democratische Volksrepubliek Korea (DRPK) is toegeschreven aan een spear-phishing-campagne gericht op journalisten die het land bestrijken met als uiteindelijk doel een achterdeur op geïnfecteerde Windows-systemen te plaatsen.
De inbraken, naar verluidt het werk van Ricochet Chollima, resulteerden in de inzet van een nieuwe malwaresoort genaamd GOLDBACKDOOR, een artefact dat technische overlappingen deelt met een andere malware genaamd BLUELIGHT, die eerder aan de groep was gekoppeld.
“Journalisten zijn waardevolle doelwitten voor vijandige regeringen”, zegt cyberbeveiligingsbedrijf Stairwell zei in een rapport dat vorige week werd gepubliceerd. “Het compromitteren van een journalist kan toegang geven tot zeer gevoelige informatie en extra aanvallen op hun bronnen mogelijk maken.”
Ricochet Chollima, ook wel bekend als APT37InkySquid en ScarCruft zijn een Noord-Koreaanse nexus-gerichte indringer die sinds ten minste 2016 betrokken is bij spionageaanvallen. De dreigingsactor heeft een staat van dienst in het aanvallen van de Republiek Korea, met een opgemerkte focus op overheidsfunctionarissen, niet- overheidsorganisaties, academici, journalisten en Noord-Koreaanse overlopers.
In november 2021 heeft Kaspersky bewijs gevonden van de hackploeg die een voorheen ongedocumenteerd implantaat genaamd Chinotto afleverde als onderdeel van een nieuwe golf van zeer gerichte bewakingsaanvallen, terwijl andere eerdere operaties gebruik maakten van een tool voor externe toegang genaamd BLUELIGHT.
Stairwell’s onderzoek naar de campagne komt weken na NK News onthuld dat de lokberichten werden verzonden vanaf een persoonlijk e-mailadres van een voormalige Zuid-Koreaanse inlichtingenfunctionaris, wat uiteindelijk leidde tot de inzet van de achterdeur in een meertraps infectieproces om detectie te ontwijken.
De e-mailberichten bleken een link te bevatten om een ZIP-archief te downloaden van een externe server die is ontworpen om het op Noord-Korea gerichte nieuwsportaal na te bootsen. Ingebed in het bestand is een Windows-snelkoppelingsbestand dat fungeert als een startpunt om het PowerShell-script uit te voeren, dat een lokdocument opent en tegelijkertijd de GOLDBACKDOOR-achterdeur installeert.
Het implantaat is van zijn kant gevormd als een draagbaar uitvoerbaar bestand dat in staat is om opdrachten van een externe server op te halen, bestanden te uploaden en downloaden, bestanden op te nemen en zichzelf op afstand te verwijderen van de besmette machines.
“In de afgelopen tien jaar heeft de Democratische Volksrepubliek Korea, de DVK, cyberoperaties aangenomen als een belangrijk middel om het regime te ondersteunen”, zei Silas Cutler van Stairwell.
“Hoewel er veel aandacht is besteed aan het vermeende gebruik van deze operaties om de militaire programma’s van de DVK te financieren, blijft het doelwit van onderzoekers, dissidenten en journalisten waarschijnlijk een belangrijk gebied voor het ondersteunen van de inlichtingenoperaties van het land.”
