Северокорейские хакеры атакуют геймеров через скомпрометированную платформу
Группировка киберпреступников APT37, также известная как ScarCruft и связываемая с Северной Кореей, скомпрометировала игровую платформу Yanbian, используемую этническими корейцами в Китае. Злоумышленники внедряли вредоносное программное обеспечение BirdCall, способное красть данные как с устройств под управлением операционной системы Windows, так и с мобильных устройств на Android.
Цель атаки и группировка
По данным отчета экспертов по кибербезопасности из компании ESET, масштабная атака на цепочку поставок, вероятно, началась в конце 2023 года. Предполагается, что за ней стоит группировка ScarCruft (также известная как APT37 или Reaper), которой удалось скомпрометировать SQgame — многоплатформенный игровой сервис, разработанный специально для жителей Яньбяня.
Яньбянь-Корейский автономный округ расположен в провинции Цзилинь в Китае, недалеко от границы с Северной Кореей и Россией. Он был создан для предоставления административной автономии значительному корейскому населению. Как отмечают в ESET, Яньбянь также является ключевым пунктом пересечения границы для беженцев и перебежчиков из Северной Кореи, что может быть одной из причин, по которой он стал мишенью для атаки.
Вредоносная программа BirdCall
Как сообщают эксперты ESET, в ходе атаки, которая, вероятно, продолжается с конца 2023 года, ScarCruft скомпрометировала компоненты игровой платформы, предназначенной для игр, связанных с Яньбянем, как для Windows, так и для Android. В скомпрометированные версии было внедрено вредоносное ПО типа бэкдор (программа для скрытого удаленного управления), названное BirdCall.
Функционал BirdCall различается в зависимости от операционной системы. На устройствах под управлением Windows вредоносная программа способна делать скриншоты, записывать нажатия клавиш, красть содержимое буфера обмена, выполнять команды оболочки и эксфильтровать данные. Вся похищенная информация затем загружается на легитимные облачные сервисы, такие как Dropbox или pCloud.
На платформе Android функционал BirdCall более обширен. Он позволяет ScarCruft эксфильтровать списки контактов, SMS-сообщения, журналы вызовов, медиафайлы, документы, скриншоты и даже записывать окружающий звук. По состоянию на текущий момент, вредоносное ПО обновлялось семь раз, что позволяет исследователям полагать, что оно активно поддерживается и развивается.
В ESET также отмечают, что платформа до сих пор размещает вредоносные игры, хотя это касается только версии для Android.
