Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια περίπλοκη εκστρατεία όπου οι παράγοντες απειλών υποδύονται συγγραφείς από μεγάλα κορεατικά ραδιοτηλεοπτικά δίκτυα για να διανέμουν κακόβουλα έγγραφα.
Η επιχείρηση, η οποία παρακολουθείται ως Επιχείρηση Άρτεμις, αντιπροσωπεύει μια αξιοσημείωτη εξέλιξη στις τακτικές κοινωνικής μηχανικής αξιοποιώντας αξιόπιστες προσωπικότητες των μέσων ενημέρωσης για την εδραίωση της αξιοπιστίας με πιθανά θύματα πριν από την παράδοση επιβλαβών φορτίων.
Η καμπάνια επιδεικνύει μια στρατηγική επίθεσης πολλών σταδίων που συνδυάζει την εξαπάτηση με προηγμένες τεχνικές τεχνικές αποφυγής.
Οι φορείς απειλών έρχονται σε επαφή με τα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που μεταμφιέζονται ως νόμιμα αιτήματα συνέντευξης ή ευκαιρίες επαγγελματικής συνεργασίας.
Οι επιτιθέμενοι παρουσιάζονται ως καθιερωμένοι συγγραφείς από αναγνωρισμένα κορεατικά τηλεοπτικά προγράμματα, χρησιμοποιώντας αυθεντικές προτάσεις που σχετίζονται με υποθέσεις της Βόρειας Κορέας και ζητήματα ανθρωπίνων δικαιωμάτων για να ευθυγραμμιστούν με τα συμφέροντα-στόχους.
Αυτή η προσέγγιση αποδεικνύεται ιδιαίτερα αποτελεσματική επειδή τα θέματα έχουν απήχηση σε ακαδημαϊκούς, δημοσιογράφους και ειδικούς σε θέματα πολιτικής που αλληλεπιδρούν συχνά με οργανισμούς μέσων ενημέρωσης.
Genians αναλυτές αναγνωρισθείς ότι το κακόβουλο λογισμικό προέρχεται από κακόβουλα έγγραφα HWP—αρχεία επεξεργασίας κειμένου Hangul που χρησιμεύουν ως η τυπική μορφή εγγράφου στη Νότια Κορέα.
Αυτά τα δηλητηριασμένα αρχεία φτάνουν ως συνημμένα καλυμμένα ως ερωτηματολόγια συνεντεύξεων ή υλικό οδηγών εκδηλώσεων. Μόλις ένα θύμα ανοίξει το έγγραφο και κάνει κλικ σε ενσωματωμένους υπερσυνδέσμους, η αλυσίδα μόλυνσης ξεκινά σιωπηλά στο παρασκήνιο.
Η τεχνική υλοποίηση αποκαλύπτει σημαντική πολυπλοκότητα. Η επίθεση αξιοποιεί την πλευρική φόρτωση DLL, μια τεχνική όπου τα νόμιμα βοηθητικά προγράμματα συστήματος από το Microsoft Sysinternals γίνονται άθελά τους συνεργοί.
.webp.png "Απειλές ηθοποιοί παρουσιάζονται ως συγγραφέας κορεατικών τηλεοπτικών προγραμμάτων για να ξεγελάσουν θύματα και να εγκαταστήσουν κακόβουλο λογισμικό")
Οι φορείς απειλών τοποθετούν κακόβουλα αρχεία DLL δίπλα σε νόμιμα εκτελέσιμα, με αποτέλεσμα τα Windows να φορτώνουν την κατεστραμμένη βιβλιοθήκη.
Συγκεκριμένα, το κακόβουλο λογισμικό δημιουργεί αρχεία με το όνομα version.dll που φορτώνονται από νόμιμες διαδικασίες όπως το vhelp.exe και το mhelp.exe.
Αυτή η μέθοδος αποφεύγει τα παραδοσιακά εργαλεία ασφαλείας που βασίζονται σε υπογραφές, επειδή οι γονικές διαδικασίες φαίνονται νόμιμες στο τυπικό λογισμικό προστασίας από ιούς.
.webp.png "Απειλές ηθοποιοί παρουσιάζονται ως συγγραφέας κορεατικών τηλεοπτικών προγραμμάτων για να ξεγελάσουν θύματα και να εγκαταστήσουν κακόβουλο λογισμικό")
Το αρχείο DLL χρησιμοποιεί πολλαπλά επίπεδα κρυπτογράφησης χρησιμοποιώντας λειτουργίες XOR με βασικές τιμές όπως 0xFA και 0x29 για να κρύψει τον πραγματικό του σκοπό.
Ανάλογα με τις δυνατότητες του συστήματος στόχου, το κακόβουλο λογισμικό επιλέγει έξυπνα μεταξύ τυπικών μεθόδων αποκρυπτογράφησης XOR κατά byte ή μεθόδων SSE υψηλής ταχύτητας (Streaming SIMD Extensions) που επεξεργάζονται 16 byte ταυτόχρονα.
Αυτή η προσαρμοστική προσέγγιση αυξάνει την ταχύτητα επεξεργασίας, ενώ διατηρεί μυστικότητα έναντι συστημάτων ασφαλείας που ταιριάζουν με τα πρότυπα.
Τεχνική ανάλυση πλευρικής φόρτωσης DLL
Το κακόβουλο λογισμικό αναπτύσσει τελικά το RoKRAT, ένα εξελιγμένο εργαλείο κλοπής δεδομένων. Η αλυσίδα μόλυνσης αποτελείται από την εκτέλεση αντικειμένου OLE εντός εγγράφων HWP, ακολουθούμενη από προσωρινή ανάπτυξη φακέλων εκτελέσιμων αρχείων και κακόβουλων DLL.
Το ωφέλιμο φορτίο υφίσταται διαδοχικά στάδια αποκρυπτογράφησης XOR πριν ενεργοποιηθεί ως τελικός κώδικας κελύφους.
Η εγκληματολογική ανάλυση αποκάλυψε ότι οι φορείς απειλών διατηρούσαν υποδομή διοίκησης και ελέγχου μέσω των υπηρεσιών Yandex Cloud στη Ρωσία, με διακριτικά λογαριασμού που εμφανίζουν ημερομηνίες εγγραφής από τον Οκτώβριο του 2023 έως τον Φεβρουάριο του 2025, υποδεικνύοντας διαρκή επιχειρησιακή ικανότητα.
Η ανίχνευση απαιτεί παρακολούθηση συμπεριφοράς μέσω λύσεων ανίχνευσης και απόκρισης τελικού σημείου αντί για συμβατική σάρωση αρχείων.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τη μη κανονική φόρτωση DLL από προσωρινούς καταλόγους, τις ύποπτες θυγατρικές διεργασίες που προέρχονται από νόμιμα εκτελέσιμα αρχεία και τις εξερχόμενες συνδέσεις στην υποδομή cloud αμέσως μετά την εκτέλεση του εγγράφου.
Η εκστρατεία υπογραμμίζει πώς οι φορείς απειλών συνεχίζουν να βελτιώνουν τις μεθοδολογίες τους για να εκμεταλλεύονται ταυτόχρονα τα κενά εμπιστοσύνης και τεχνικής ανίχνευσης.
