La Unit 42 di Palo Alto Networks ha rilevato messaggi email di spear phishing inviati nel novembre scorso che contenevano un nuovo malware che condivideva l’infrastruttura con i playbook associati alle campagne della Corea del Nord.
I messaggi sembravano provenire da un esperto di sicurezza nucleare che opera come consulente per organizzazioni think tank di sicurezza nazionale degli Stati Uniti. Le email sono state inviate da un indirizzo pubblico contenente il nome dell’esperto e avevano un oggetto legato ai problemi nucleari della Corea del Nord. Al suo interno era allegato un documento macro Excel pericoloso che, se eseguito, conduceva a una nuova famiglia di malware Microsoft Visual Basic (VB) script-based, “BabyShark”.
BabyShark è un malware relativamente nuovo. Il primo esemplare rilevato in un archivio open source e nei nostri set di dati interni risale a novembre 2018. Il malware viene attivato con l’esecuzione del primo stadio HTA da una posizione remota, e in seguito distribuito attraverso tipologie di file differenti, tra cui file PE e documenti pericolosi. Analizza le informazioni di sistema sul server C2, resta presente sul sistema e attende nuove istruzioni dall’operatore.
Metodo di esecuzione di BabyShark
Tra gli obiettivi colpiti dalle email, Unit 42 ha individuato:
- Un’università degli Stati Uniti nella quale si stava tenendo una conferenza sulla denuclearizzazione della Corea del Nord
- Un istituto di ricerca basato negli Stati Uniti che opera come think tank per i problemi di sicurezza nazionale, in cui lavora l’esperto di sicurezza nucleare citato.
