Adversary

Ricochet Chollima

Ursprung

Nordkorea

Community Identifiers

ScarCruft, APT37, Group123, Reaper, Red Eyes

Ricochet Chollima ist ein zielgerichteter Angreifer aus der Demokratischen Volksrepublik Korea (DVRK), der seit mindestens 2016 an Spionageoperationen beteiligt ist.

Die beobachteten Operationen von Ricochet Chollima zielten fast ausschließlich auf die Republik Korea (RoK) ab und konzentrierten sich auf Regierungsbeamte der Republik Korea, Nichtregierungsorganisationen (NGOs), Wissenschaftler, Journalisten und Überläufer der DVRK.

Die Zielsetzung von RICOCHET CHOLLIMA ähnelt der von VELVET CHOLLIMA, gehört jedoch was ihre Fähigkeiten und die betriebliche Komplexität betrifft, zu den technisch am weitesten fortgeschrittenen feindlichen Gruppierungen Nordkoreas.

Ricochet Chollima greift häufig auf Cloud-basierte Datei-Hosting-Dienste zurück. RICOCHET CHOLLIMAs Malware lässt sich leicht anhand dieser unverwechselbaren Taktik identifizieren. RICOCHET CHOLLIMA nutzt Spear-Phishing, um bei schadhaften Dokumenten des Hangul Word Processor (HWP) benutzerdefinierte Einsätze zu entfernen, beispielsweise Cirrus und Numbus RATs.

Letzte Aktivitäten

Im Dezember 2020 entdeckte CrowdStrike Intelligence ein neues Tool von RICOCHET CHOLLIMA namens PoorWeb RAT. PoorWeb wird über ein OLE-Objekt geliefert, das in ein schadhaftes HWP-Dokument eingebettet ist, um einen Dropper der ersten Stufe und anschließend die Nutzlast von PoorWeb zu laden - eine Taktik, die zuvor bereits von RICOCHET CHOLLIMA verwendet wurde. Diese Malware kann Systeminformationen sammeln, Screenshots machen, Laufwerke und Dateien erfassen und Befehle ausführen. Die Ziele von PoorWeb sind zwar unklar, jedoch haben gefälschte Dokumente, die als Lockvogel dienten, ergeben, dass es um die Koreanische Wiedervereinigung geht, was darauf schließen lässt, dass diejenigen, die mit der DVRK sympathisierten, im Mittelpunkt der beobachteten Aktivitäten standen.

Targeted Nations

  • Flag Icon of the country Hongkong

    Hongkong

  • Flag Icon of the country Nordkorea

    Nordkorea

  • Flag Icon of the country Russische Föderation

    Russische Föderation

  • Flag Icon of the country Südkorea

    Südkorea

  • Flag Icon of the country Vereinigte Staaten

    Vereinigte Staaten

  • Flag Icon of the country Saudi Arabien

    Saudi Arabien

  • Flag Icon of the country Türkei

    Türkei

  • Flag Icon of the country Vereinigte Arabische Emirate

    Vereinigte Arabische Emirate

  • Flag Icon of the country Vietnam

    Vietnam

Artwork

Gegner: Ricochet Chollima - Hacker-Gruppe

Crowdstrike Ricochet Chollima

I have read and accept the terms and conditions

Download
Nächste Gruppe aufrufen

Terms and conditions

In order to download the adversary artwork, we kindly request you to accept our terms and conditions displayed below.

This image (“artwork”), is the intellectual property of CrowdStrike, Inc. and its affiliates and licensors (collectively, “us” or “we”) and may include other marks, trademarks, copyrighted materials, and other intellectual property (“assets”) that belong t o us, including, without limitation, CrowdStrike, the CrowdStrike logo, and CrowdStrike Falcon. We retain all right, title and interest in and to the artwork and all assets included therein. This artwork is offered to you as a convenience for your lawful a nd non-commercial use, solely as authorized by us, and subject to your compliance with these terms and conditions (“terms”) and any other guidelines or specifications that we may provide from time to time. We reserve the right to change these terms at any time without prior notice.

You should periodically check the latest information posted herein to be sure that you are in compliance. By downloading the artwork, you attest that you are at least 18 years of age and agree to the following terms, which const itute the sole and entire agreement between you and us with respect to the artwork. We reserve all rights not expressly granted to you herein. You may not use or display the artwork in any way: (i) that violates the rights of any person or entity or that may give rise to civil or criminal liability under laws or regulations applicable to you, another user, and/or CrowdStrike; (ii) that is defamatory, obscene, indecent, abusive, harassing, violent, hateful, inflammatory or otherwise objectionable; (iii) tha t is false, deceptive, misleading or fraudulent, including but not limited to: (a) any attempt to impersonate any person or entity, including any other user, CrowdStrike or a CrowdStrike employee; (b) any attempt to misrepresent your identity or affiliation with any person or organization; or (iv) for the purposes of recruiting, advertising, solicitation or commercial activities of any kind without our express written consent.

THE ARTWORK IS PROVIDED TO YOU BY CROWDSTRIKE ON AN “AS IS” AND “AS AVAILABLE” BA SIS, WITHOUT ANY WARRANTIES OF ANY KIND, EITHER EXPRESS OR IMPLIED. EXCEPT TO THE EXTENT THAT A DISCLAIMER OF LIABILITY IS PROHIBITED UNDER APPLICABLE LAW, IN NO EVENT WILL CROWDSTRIKE, ITS AFFILIATES AND ITS LICENSORS, EMPLOYEES, AGENTS, OFFICERS AND DIRE CTORS BE LIABLE FOR DAMAGES OF ANY KIND, UNDER ANY LEGAL THEORY, ARISING OUT OF OR IN CONNECTION WITH YOUR USE, OR INABILITY TO USE, THE ARTWORK.