Um grupo de hackers ligado ao governo norte-coreano foi pego usando um novo malware de escuta telefônica em recentes ataques de vigilância, de acordo com um comunicado da empresa de segurança cibernética AhnLab.
O APT, sinalizado como APT37, foi visto usando um backdoor baseado em Go que explora a transferência de dados em tempo real e a plataforma de mensagens Ably, e um ladrão de informações anteriormente desconhecido que possui recursos de escuta telefônica de microfone
A AhnLab, com sede na Coreia do Sul, disse que descobriu os últimos ataques em maio de 2023 e alertou que os hackers estão usando uma carga CHM (Compiled HTML Help File) disfarçada de senha, entregue por e-mails de spear phishing que também carregavam um documento protegido por senha, induzindo as vítimas pretendidas a executar o arquivo CHM para visualizar o documento .
Quando aberto, o arquivo CHM exibe uma senha e executa um script malicioso via MSHTA. O script é um backdoor do PowerShell que obtém persistência registrando um registro de chave e que pode executar comandos recebidos do servidor de comando e controle (C&C).
O backdoor pode exfiltrar informações de arquivos, arquivos e pastas compactadas, pode baixar arquivos, editar registros, registrar agendadores de tarefas, modificar nomes de arquivos e excluir arquivos, disse AhnLab.
Os hackers norte-coreanos também foram vistos aumentando privilégios, exfiltrando dados e implantando malware por meio de um backdoor baseado em Go que usa o serviço da plataforma Ably para transferência de dados.
Por fim, o backdoor AblyGo e o script PowerShell foram usados para executar um ladrão de informações na memória, diz AhnLab. Apelidado de FadeStealer, o malware pode tirar screenshots, roubar dados de dispositivos removíveis e registrar teclas digitadas, mas também possui recursos de escuta telefônica.
“[APT37’s] o foco principal é o roubo de informações, e um ladrão de informações com um recurso para grampear microfones foi descoberto neste caso de ataque recente. A escuta não autorizada de indivíduos na Coreia do Sul é considerada uma violação da privacidade e é estritamente regulamentada pelas leis relevantes. Apesar disso, o agente da ameaça monitorava tudo o que as vítimas faziam em seus PCs e até realizava escutas telefônicas”, acrescentou AhnLab.
Também conhecida como Group123, InkySquid, Reaper, RedEyes e ScarCruft, a equipe de hackers documentou links para o governo norte-coreano e é conhecida por visar desertores norte-coreanos, ativistas de direitos humanos, jornalistas e formuladores de políticas, para fins de vigilância.