De op Noord-Korea gerichte, door de staat gesponsorde hackgroep, bekend als ScarCruft heeft een videogameplatform gecompromitteerd tijdens een spionageaanval in de toeleveringsketen, waarbij de componenten ervan zijn getrojaniseerd met een zogenaamde achterdeur Vogeloproepwaarschijnlijk gericht op etnische Koreanen die in China wonen.
Hoewel eerdere versies van de achterdeur zich voornamelijk alleen op Windows-gebruikers hadden gericht, wordt aangenomen dat de aanval op de toeleveringsketen de dreigingsactoren in staat heeft gesteld zich ook op Android-apparaten te richten, waardoor deze in wezen is veranderd in een bedreiging voor meerdere platforms.
Volgens ESET richt de campagne zich op sqgame(.)net, een gamingplatform dat wordt gebruikt door etnische Koreanen die in de Yanbian-regio in China, grenzend aan Noord-Korea en Rusland, wonen. Het is ook bekend dat het fungeert als een belangrijk doorgangspunt met een hoog risico voor Noord-Koreaanse overlopers die de rivier de Tumen oversteken.
Er wordt gezegd dat het aanvallen van dit platform een doelbewuste strategie is, gezien ScarCrufts legendarische geschiedenis van het aanvallen van Noord-Koreaanse overlopers, mensenrechtenactivisten en universiteitsprofessoren.
“Bij de aanval, die waarschijnlijk sinds eind 2024 aan de gang is, heeft ScarCruft Windows- en Android-componenten gecompromitteerd van een videogameplatform gewijd aan games met een Yanbian-thema, door ze te trojaniseren met een achterdeur”, aldus het Slowaakse cyberbeveiligingsbedrijf in een rapport dat vóór publicatie werd gedeeld met The Hacker News.
Windows-versies van BirdCall, ook wel een geavanceerde evolutie van RokRAT genoemd, worden sinds 2021 in het wild gedetecteerd. In de loop der jaren is RokRAT ook aangepast om zich te richten op macOS (CloudMensis) en Android (RambleOn), wat aangeeft dat de malwarefamilie nog steeds actief wordt onderhouden door de bedreigingsactoren.
BirdCall wordt geleverd met functies die doorgaans in een achterdeur aanwezig zijn, zoals het maken van screenshots, het loggen van toetsaanslagen, diefstal van inhoud op het klembord, het uitvoeren van shell-opdrachten en het verzamelen van gegevens. Net als RokRAT vertrouwt de malware op legitieme clouddiensten zoals Dropbox en pCloud voor command-and-control (C2).
“BirdCall wordt meestal ingezet in een meertraps laadketen, beginnend met een Ruby- of Python-script, en bevat componenten die zijn gecodeerd met een computerspecifieke sleutel”, aldus ESET.
De Android-variant van BirdCall, gedistribueerd als onderdeel van de sqgame(.)net supply chain-aanval, bevat een subset van zijn Windows-tegenhanger, terwijl het contactlijsten, sms-berichten, oproeplogboeken, mediabestanden, documenten, schermafbeeldingen en omgevingsaudio verzamelt. Een analyse van de herkomst van de malware heeft zeven versies opgeleverd, waarvan de eerste dateert uit oktober 2024.
Interessant genoeg blijkt dat de supply chain-aanval alleen de Android APK’s vergiftigt die beschikbaar zijn om te downloaden vanaf het platform, waardoor de Windows desktopclient en de iOS-games intact blijven. De downloadpagina’s voor twee Android-games die worden gehost op sqgame(.)net zijn aangepast om de kwaadaardige APK’s te bedienen –
- sqgame.com(.)cn/ybht.apk
- sqgame.com(.)cn/sqybhs.apk
Het is momenteel niet bekend wanneer de website werd geschonden en de vergiftigde APK’s werden verspreid. Er wordt echter aangenomen dat het incident ergens eind 2024 plaatsvond. Bovendien is er bewijs naar voren gekomen dat een updatepakket van de Windows-desktopclient een getrojaniseerde DLL heeft afgeleverd sinds ten minste november 2024 en voor onbepaalde tijd. Het updatepakket is niet langer schadelijk.
Concreet bevatte de gewijzigde DLL een downloader die de lijst met actieve processen controleert op analysetools en virtuele machine-omgevingen, voordat hij doorgaat met het downloaden en uitvoeren van shellcode met RokRAT. De achterdeur wordt vervolgens gebruikt om BirdCall op te halen en te installeren op de geïnfecteerde hosts.
De Android-versie van BirdCall vertrouwt ook op legitieme cloudopslagdiensten voor C2-communicatie. Dit omvat pCloud, Yandex Disk en Zoho WorkDrive, waarvan de laatste steeds vaker aanwezig is in meerdere campagnes.
“De Android-backdoor heeft een actieve ontwikkeling doorgemaakt en biedt surveillancemogelijkheden, zoals het verzamelen van persoonlijke gegevens en documenten, het maken van schermafbeeldingen en het maken van stemopnames”, aldus ESET.
