Una campaña de phishing de lanza a gran escala dirigida al gobierno y el personal de inteligencia de Corea del Sur ha explotado un boletín de inteligencia nacional para atraer a las víctimas. En un nuevo informe publicado el 29 de agosto, la firma de ciberseguridad Seqrite reveló que APT37, un grupo de piratería de estado-nación que se cree que está respaldado por Corea del Norte, estaba detrás de una campaña de phishing de lanza a gran escala. El esfuerzo, denominado Operation Hankook Phantom, involucró dos campañas durante las cuales APT37 armó documentos de interés para los funcionarios gubernamentales de Corea del Sur y los oficiales de inteligencia. Phishing de lanza con la inteligencia de Seúl atrae la primera campaña aprovechó el boletín de la Sociedad Nacional de Investigación de Inteligencia – Número 52 ‘(‘ 국가정보연구회 소식지 소식지 소식지 소식지 호 호) ‘en coreano) como un documento señuelo para atraer a las víctimas. El boletín de la Sociedad Nacional de Investigación de Inteligencia es un boletín interno mensual o periódico emitido por la Asociación Nacional de Investigación de Inteligencia, un grupo de investigación de Corea del Sur. Proporciona a los miembros una visión general de los últimos y próximos seminarios, iniciativas de investigación y desarrollos organizacionales. También destaca las discusiones en curso sobre la seguridad nacional, la dinámica laboral, los cambios geopolíticos actuales, los avances tecnológicos (por ejemplo, IA) y las relaciones de Corea del Norte-Sur. Según los investigadores de Seqrite, los atacantes están distribuyendo este PDF de aspecto legítimo junto con un archivo LNK malicioso (acceso directo de Windows) llamado 국가정보연구회 소식지 소식지 소식지 소식지 소식지 호 호) .pdf. Una vez que se ejecuta el archivo LNK, desencadena la descarga de una ejecución de carga o comando, lo que permite al atacante comprometer el sistema. La cadena de intrusión incluye varios métodos para ofuscar la carga útil maliciosa y evadir la detección, incluida la ejecución en la memoria, los señuelos disfrazados y las rutinas de exfiltración de datos ocultos. Al analizar la cadena de ataque, los investigadores de SeqRite encontraron que la carga útil ofrece Rokrat, una puerta trasera comúnmente distribuida como un archivo binario codificado que se descarga y descifrado por Shellcode después de la explotación de documentos armados. Se ha observado a APT37 entregando a Rokrat en campañas anteriores. Los objetivos principales de esta campaña de phishing de lanza incluyen beneficiarios del boletín, que generalmente son miembros de una o varias de las siguientes instituciones de Corea del Sur: Asociación Nacional de Investigación de Inteligencia Kwangwoon University University University Strategy for Security Security Institute Economic Investigation Security and Whedeen Association Spirit National Salvation Promotion Promocion Kim Yō-Jong, Director del Departamento de Vice del Comité Central del Partido de los Trabajadores de Corea del Norte y hermana del Líder Supremo de Corea del Norte, Kim Jong-un, como señuelo. Según los informes de la Agencia Central de Noticias Central (KCNA) con sede en Pyongyang, esta declaración indica el rechazo de Corea del Norte de cualquier esfuerzo de reconciliación de Corea del Sur, señaló el informe Seqrite. «Critica fuertemente los intentos del Sur de mejorar las relaciones entre corneanas, etiquetándolas como sin sentido o hipócritas», continuaron los investigadores de Seqrite. El documento también mencionó que Corea del Norte rechaza rotundamente cualquier diálogo o cooperación futura con Corea del Sur, declarando el fin de los esfuerzos de reconciliación y adoptando una postura hostil basada en la confrontación en el futuro. Esta cadena de ataque refleja la primera campaña, comenzando con un archivo LNK malicioso que deja caer un señuelo mientras despliega componentes ofuscados (Tony33.Bat, Tony32.Dat, Tony31.dat) a %TEMP %. El Self Self Self, luego el script por lotes desencadena un ataque sin fila: Tony32.Dat decodifica en la memoria, Xor-Decrypts Tony31.dat (clave 0x37), y lo inyecta a través de API Llamadas (VirtualAlloc+CreateThread). El gotero obtiene una carga útil secundaria (ABS.TMP) de un servidor de comando y control (C2) a través de solicitudes HTTP falsificadas, la ejecuta a través de PowerShell (-EncodedCommand) y elimina las trazas. Simultáneamente, exfiltra los archivos % TEMP % a través de solicitudes de publicación disfrazadas (imitando las cargas PDF) antes de la eliminación, usando LOLBins, la ejecución de la memoria y la mezcla de tráfico para evadir la detección. Los objetivos para esta segunda campaña incluyeron: el Ministerio de Unificación de la Administración Lee Jae-Myung (Gabinete del Gobierno de Corea del Sur) de unificación S.-Sur Alliance Military Alliance Asia-Pacífico Cooperación económica (APEC) APT37 utiliza a los ataques de lanza altamente personalizados SeqRite llamado la operación combinada de las campañas «Hankook Fantas Técnicas sigilosas y evasivas utilizadas en toda la cadena de infecciones. APT37 es un grupo de ciber espionaje conocido bajo muchos nombres, incluidos Inksquid, Scorcruft, Reaper, Group123, Redeyes y Ricochet Chollima. El grupo ha estado activo desde al menos 2012 y se cree que está asociado con el régimen de Corea del Norte. Su enfoque principal son los sectores público y privado de Corea del Sur, con recientes campañas de phishing de lanza que involucran señuelos que explotan documentos sobre la participación de los soldados norcoreanos que ayudan a Rusia en la guerra en Ucrania. En 2017, APT37 amplió su objetivo más allá de la península coreana para incluir a Japón, Vietnam y Oriente Medio y a una gama más amplia de verticales de la industria, incluidas productos químicos, electrónica, fabricación, aeroespaciales, automotrices y organizaciones de atención médica. «El análisis de [the Operation HanKook Phanthom] La campaña destaca cómo APT37 continúa empleando ataques de phishing de lanza altamente personalizados, aprovechando cargadores de LNK maliciosos, ejecución de PowerShell Filless y mecanismos encubiertos de exfiltración «, concluyeron los investigadores de Seqrite. Leer más sobre APT37: los piratas informáticos de Corneanes marginando para los secretos de defensa estadounidenses de los Estados Unidos.