Foto: YONHAP News Eine mit Nordkorea verbundene Hackergruppe hat offenbar eine neue Malware-Kampagne gestartet, die Computer mit höchst irreführenden E-Mails infiziert und Zielpersonen dazu verleitet, infizierte Hangul-Textverarbeitungsdokumente (HWP) zu öffnen, um Daten zu stehlen. Das Genians Security Center (GSC), ein in Südkorea ansässiges Cybersicherheitsunternehmen, veröffentlichte am Montag einen Bericht, der die Operation mit dem Codenamen „Artemis“ aufdeckte, die von August bis November von APT37, einer nordkoreanischen Cyberspionagegruppe, durchgeführt wurde. Den Erkenntnissen des Zentrums zufolge nutzten die Bedrohungsakteure Spear-Phishing, indem sie E-Mails verschickten, in denen sie sich als Autor für koreanische Fernsehprogramme ausgaben, und die Zielpersonen für Castings oder Interviewvereinbarungen kontaktierten. Den E-Mails ist in einer HWP-Datei eingebetteter OLE-Code (Bösartiger Object Linking and Embedding) beigefügt, der als Fragebogen vor dem Vorstellungsgespräch oder als Veranstaltungsleitfaden getarnt ist. Wenn das Ziel das Dokument öffnet und auf einen Hyperlink in der Datei klickt, wird eine Angriffskette ausgelöst. Nach der Infektion wurde eine Kombination von Techniken, einschließlich Steganographie und DLL-Seitenladen, verwendet, um der Erkennung zu entgehen und die Verbreitung der RoKRAT-Malware zum Zweck des Informationsdiebstahls zu verbergen. Die Ergebnisse folgen einem Bericht vom Oktober von 38 North, einem auf Nordkorea spezialisierten US-Medienunternehmen, in dem es heißt, dass das HWP-Dokumentenformat, das in Südkorea weithin als Standard verwendet wird, praktisch zu einem „dauerhaften Angriffsvektor“ geworden ist. GSC sagte, dieser Angriffsfall sei ein starker Indikator dafür, dass staatlich unterstützte Bedrohungsakteure ihre Taktiken weiterentwickeln, um einer Entdeckung zu entgehen, und dass ähnliche vielschichtige Verschleierungsstrategien höchstwahrscheinlich bei zukünftigen Angriffen häufiger zum Einsatz kommen werden.