Группа ScarCruft, известная также как APT27 или Reaper, действует с 2012 года в рамках государственной программы Северной Кореи, используя современные инструменты кибершпионажа для сбора конфиденциальной информации.
Android-шпион KoSpy, впервые обнаруженный в марте 2022 года и обновляемый до марта 2024 года, собирает обширные данные с заражённых устройств. Среди добываемых сведений – текстовые сообщения, журналы вызовов, координаты местоположения, файлы локального хранилища, скриншоты, записи нажатий клавиш, сведения о Wi-Fi сетях и список установленных приложений, а также аудиозаписи и фотографии.
При установке шпион действует через динамически загружаемые плагины, расширяющие его функциональность. Программа обращается к облачной базе данных Firebase Firestore для получения конфигурации, содержащей адрес сервера управления, и применяет двухэтапный подход, включая проверку устройства на отсутствие эмулятора и контроль даты активации.
Маскировка вредоносного ПО осуществляется через утилитные приложения, разработанные для обмана пользователей. Приложения с названиями «File Manager», «Phone Manager», «Smart Manager», «Software Update Utility» и «Kakao Security» предлагали реальные функции, позволяющие незаметно внедрить шпионский модуль, до обнаружения и удаления из официального магазина Google Play.
ScarCruft ранее использовала Windows-малварь RokRAT, а затем адаптировала свои инструменты для macOS и Android. Анализ инфраструктуры выявил пересечения с операциями другой северокорейской группы Kimsuky (также известной как APT43), что подчёркивает комплексность проводимых атак.
Параллельно реализуется кампания Contagious Interview, в рамках которой злоумышленники распространяют информацию-крадущий программный код BeaverTail через npm-пакеты. Используя тактику typosquatting, были выпущены пакеты с названиями is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency и auth-validator, суммарно скачанных свыше 330 раз, с целью кражи системных переменных, данных из браузеров (Google Chrome, Brave, Mozilla Firefox) и файлов криптовалютных кошельков, таких как id.json для Solana и exodus.wallet для Exodus.
В цепочке атаки Contagious Interview первый шаг осуществляется через поддельный проект собеседования в Microsoft Visual Studio, после чего загружается и выполняется RustDoor, осуществляется кража паролей расширения LastPass для Google Chrome, данные передаются на внешний сервер, затем выполняются два bash-скрипта для открытия обратной оболочки, и завершается всё загрузкой macOS-версии Koi Stealer, маскирующейся под Visual Studio для обмана пользователей.
Эксперты, в числе которых аналитики из Lookout, исследователь Кирилл Бойченко из Socket, специалисты Adva Gabay и Daniel Frank, а также команда Unit 42 из Palo Alto Networks, подчеркивают, что данные атаки представляют серьёзную угрозу для организаций. Значительный риск обусловлен не только кражей конфиденциальной информации, но и вовлечённостью государства, что существенно увеличивает масштабы и последствия кибершпионажа.
Изображение носит иллюстративный характер
Android-шпион KoSpy, впервые обнаруженный в марте 2022 года и обновляемый до марта 2024 года, собирает обширные данные с заражённых устройств. Среди добываемых сведений – текстовые сообщения, журналы вызовов, координаты местоположения, файлы локального хранилища, скриншоты, записи нажатий клавиш, сведения о Wi-Fi сетях и список установленных приложений, а также аудиозаписи и фотографии.
При установке шпион действует через динамически загружаемые плагины, расширяющие его функциональность. Программа обращается к облачной базе данных Firebase Firestore для получения конфигурации, содержащей адрес сервера управления, и применяет двухэтапный подход, включая проверку устройства на отсутствие эмулятора и контроль даты активации.
Маскировка вредоносного ПО осуществляется через утилитные приложения, разработанные для обмана пользователей. Приложения с названиями «File Manager», «Phone Manager», «Smart Manager», «Software Update Utility» и «Kakao Security» предлагали реальные функции, позволяющие незаметно внедрить шпионский модуль, до обнаружения и удаления из официального магазина Google Play.
ScarCruft ранее использовала Windows-малварь RokRAT, а затем адаптировала свои инструменты для macOS и Android. Анализ инфраструктуры выявил пересечения с операциями другой северокорейской группы Kimsuky (также известной как APT43), что подчёркивает комплексность проводимых атак.
Параллельно реализуется кампания Contagious Interview, в рамках которой злоумышленники распространяют информацию-крадущий программный код BeaverTail через npm-пакеты. Используя тактику typosquatting, были выпущены пакеты с названиями is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency и auth-validator, суммарно скачанных свыше 330 раз, с целью кражи системных переменных, данных из браузеров (Google Chrome, Brave, Mozilla Firefox) и файлов криптовалютных кошельков, таких как id.json для Solana и exodus.wallet для Exodus.
В цепочке атаки Contagious Interview первый шаг осуществляется через поддельный проект собеседования в Microsoft Visual Studio, после чего загружается и выполняется RustDoor, осуществляется кража паролей расширения LastPass для Google Chrome, данные передаются на внешний сервер, затем выполняются два bash-скрипта для открытия обратной оболочки, и завершается всё загрузкой macOS-версии Koi Stealer, маскирующейся под Visual Studio для обмана пользователей.
Эксперты, в числе которых аналитики из Lookout, исследователь Кирилл Бойченко из Socket, специалисты Adva Gabay и Daniel Frank, а также команда Unit 42 из Palo Alto Networks, подчеркивают, что данные атаки представляют серьёзную угрозу для организаций. Значительный риск обусловлен не только кражей конфиденциальной информации, но и вовлечённостью государства, что существенно увеличивает масштабы и последствия кибершпионажа.
