Северокорейские хакеры атакуют специалистов по кибербезопасности, предлагая им работу через LinkedIn

Мандиктивные эксперты ЗаметилЧто северокорейские хакеры сосредоточили свое внимание на специалистах по информационной безопасности. Злоумышленники пытаются заразить исследователей вредоносными программами в надежде проникнуть в сети компаний, на которые работают цели.

Mandiant заявляет, что впервые обнаружила эту кампанию в июне 2022 года, когда отслеживала фишинговую кампанию, нацеленную на США. это. Технологический клиент. Затем хакеры попытались заразить цель тремя новыми семействами вредоносных программ (Touchmove, Sideshow и Touchshift).

Вскоре после этого произошел шквал атак на американские и европейские СМИ со стороны группы UNC2970, которую Mandiant связывает с Северной Кореей. Для этих атак UNC2970 использовал целевые фишинговые электронные письма, замаскированные под предложения работы, пытаясь заставить свои цели установить вредоносное ПО.

Исследователи говорят, что UNC2970 недавно изменил тактику и теперь перешел от использования фишинговых электронных писем к использованию поддельных учетных записей LinkedIn, предположительно принадлежащих HR. Такие аккаунты тщательно имитируют личности реальных людей, чтобы обмануть жертв и повысить шансы на успех атаки.

Связавшись с жертвой и сделав ей «интересное предложение о работе», злоумышленники пытаются перевести разговор в WhatsApp, а затем используют либо сам мессенджер, либо электронную почту, чтобы выпустить бэкдор, который Mandiant назвал Plankwalk, а также другие семейства вредоносных программ.

Plankwalk и другие вредоносные программы группы в основном используют макросы в Microsoft Word. Когда документ открыт и макросы включены, целевая машина загружает и выполняет вредоносную полезную нагрузку с серверов хакеров (в основном это взломанные сайты WordPress). В результате на целевую машину доставляется zip-архив, который, помимо прочего, содержит вредоносную версию приложения удаленного рабочего стола TightVNC, которое Mandian отслеживает под именем LIDSHIFT.

Один из документов, использованных для атак, можно увидеть ниже, где хакеры закрыли New York Times.

«Жертве предлагается запустить приложение TightVNC, имя которого вместе с другими файлами совпадает с названием компании, в которой жертва планирует пройти тестирование.

Мало того, что TightVNC действует как законный инструмент для удаленного доступа к рабочему столу, LIDSHIFT также содержит множество скрытых функций. Во-первых, после запуска пользователем вредоносная программа отправляет маяк на свой жестко запрограммированный C&C-сервер. В этом случае от пользователя требовалось только одно действие — запуск самой программы. Маяк LIDSHIFT содержит исходное имя пользователя и имя хоста жертвы.

Второй особенностью LIDSHIFT является внедрение зашифрованной DLL в память. DLL — это троянизированный плагин Notepad++, который работает как загрузчик и отслеживается под именем LIDSHOT. LIDSHOT внедряется, как только жертва открывает раскрывающийся список в приложении TightVNC Viewer. LIDSHOT выполняет две основные функции: перечисление, а также загрузку и выполнение шелл-кода с управляющего сервера», — говорится в отчете Mandiant.

В результате Plankwalk открывает путь для добавления дополнительных инструментов на целевую машину, в том числе:

• TOUCHHIFT — дроппер, загружающий другое вредоносное ПО, начиная от кейлоггеров и утилит для снятия скриншотов и заканчивая полнофункциональными бэкдорами;
• TOUCHSHOT – делает скриншоты каждые три секунды;
• TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и перехватывающий данные из буфера обмена;
• HOOKSHOT — это инструмент туннелирования, который подключается через TCP для связи с сервером управления сервером;
• TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки;
• SIDESHOW — это бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP-запросы POST со своим сервером управления и контроля.

Также сообщалось, что UNC2970 использовал Microsoft Intune для управления конечными точками и загрузки скрипта PowerShell с полезной нагрузкой в ​​виде бэкдора CLOUDBURST, написанного на C. Предполагается, что UNC2970 использует это легитимное приложение для обхода защиты конечных точек.

«Хотя группа ранее нацеливалась на оборонную, медиа- и технологическую отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение деятельности UNC2970», — заключают эксперты.