Севернокорейски атаки започват от LinkedIn

Заподозряна севернокорейска хакерска група се насочва към изследователи по сигурността и медийни организации в САЩ и Европа с фалшиви предложения за работа, които водят до внедряването на три нови, персонализирани семейства зловреден софтуер.

Нападателите използват социално инженерство, за да убедят целите си да се включат чрез WhatsApp, където пускат полезния товар на зловредния софтуер „PlankWalk“ – задна врата на C++, която им помага да се установят в корпоративната среда на целта.

Според Mandiant, която проследява конкретната кампания от юни 2022 г., наблюдаваната дейност се припокрива с „Операция Dream Job“, приписвана на севернокорейския клъстер, известен като „групата Лазар“.

Mandiant обаче наблюдава достатъчно разлики в използваните инструменти, инфраструктура и TTP (тактики, техники и процедури), за да отнесе тази кампания към отделна група, която следи като „UNC2970“.

Освен това нападателите използват невиждан досега зловреден софтуер с имена „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, които не са били приписвани на никоя известна група за заплахи.

От Mandiant твърдят, че конкретната група преди това се е насочвала към технологични фирми, медийни групи и структури от отбранителната индустрия. Последната ѝ кампания показва, че тя е разширила обхвата на целите си и е адаптирала възможностите си.

Фишингът се утвърждава

Хакерите започват атаката си, като се обръщат към целите чрез LinkedIn, представяйки се за лица, набиращи персонал за работа. В крайна сметка те се прехвърлят към WhatsApp, за да продължат процеса на „набиране“, като споделят документ на Word, вграден със злонамерени макроси.

От Mandiant твърдят, че в някои случаи тези Word документи са стилизирани така, че да отговарят на описанията на длъжностите, които те популяризират сред целите. Например една от примамките, споделена от Mandiant, се представя за New York Times, както е показано по-долу.

 

Макросите на Word документа извършват инжектиране на отдалечен шаблон, за да изтеглят троянизирана версия на TightVNC от компрометирани WordPress сайтове, които служат като сървъри за командване и контрол на нападателя.

Mandiant проследява тази специално създадена версия на TightVNC като „LidShift“. При изпълнението си тя използва отразяващо инжектиране на DLL, за да зареди криптиран DLL (троянизирана приставка за Notepad++) в паметта на системата.

Зареденият файл е програма за изтегляне на зловреден софтуер с име „LidShot“, която извършва преброяване на системата и разполага крайния полезен товар за създаване на опорна точка на пробитото устройство – „PlankWalk“.

Маскиране като файлове на Windows

По време на фазата след експлоатирането севернокорейските хакери използват нов, персонализиран дропър за зловреден софтуер, наречен „TouchShift“, който се маскира като легитимен двоичен файл на Windows (mscoree.dll или netplwix.dll).

След това TouchShift зарежда друга програма за правене на снимки на екрана, наречена „TouchShot“, кийлогър, наречен „TouchKey“, тунел, наречен „HookShot“, нов зареждащ модул, наречен „TouchMove“, и нова задна врата, наречена „SideShow“.

Най-интересен от тях е новият персонализиран backdoor SideShow, който поддържа общо 49 команди. Тези команди позволяват на нападателя да извършва произволно изпълнение на код на компрометираното устройство, да променя регистъра, да манипулира настройките на защитната стена, да добавя нови планирани задачи и да изпълнява допълнителни полезни товари.

В някои случаи, когато целевите организации не са използвали VPN, е наблюдавано, че хакерите са злоупотребявали с Microsoft Intune, за да разгърнат зловредния софтуер „CloudBurst“ с помощта на PowerShell скриптове.

Този инструмент също се маскира като легитимен файл на Windows, по-конкретно „mscoree.dll“, и ролята му е да извършва преброяване на системата.

Деактивиране на EDR инструменти чрез нулев ден

Вторият доклад, публикуван днес от Mandiant, се фокусира върху тактиката „донеси свой уязвим драйвер“ (BYOVD), следвана от UNC2970 в последната кампания.

След като проучиха дневниците на компрометираните системи, анализаторите на Mandiant откриха подозрителни драйвери и странен DLL файл („_SB_SMBUS_SDK.dll“).

При по-нататъшно разследване изследователите откриха, че тези файлове са създадени от друг файл с име „Share.DAT“, дропър в паметта, проследен като „LightShift“.

Dropper-ът зарежда закрит полезен товар, наречен „LightShow“, който използва уязвимия драйвер, за да извършва произволни операции за четене и запис в паметта на ядрото.

Ролята на полезния товар е да поправя рутинни процедури на ядрото, използвани от софтуера EDR (Endpoint Detection and Response), което помага на нарушителите да избегнат откриване.

Забележително е, че драйверът, използван в тази кампания, е бил драйвер на ASUS („Driver7.sys“), за който не е било известно, че е уязвим към момента на откриването му от Mandiant, така че севернокорейските хакери са използвали недостатък от нулев ден.

Mandiant съобщи за проблема на ASUS през октомври 2022 г., уязвимостта получи идентификатор CVE-2022-42455 и производителят я отстрани чрез актуализация, пусната седем дни по-късно.

Преди това севернокорейски хакери са се насочвали към изследователи по сигурността, занимаващи се с разработване на уязвимости и експлойти, като са създавали фалшиви образи в социалните мрежи онлайн, които са се представяли за изследователи на уязвимости.

След това тези лица се свързваха с други изследователи в областта на сигурността за потенциално сътрудничество в изследването на уязвимости.

След като установяват контакт с изследовател, хакерите изпращат зловредни проекти на Visual Studio и MHTML файлове, които използват нулев ден в Internet Explorer.

И двете примамки бяха използвани за инсталиране на зловреден софтуер на устройствата на целевите изследователи, за да се получи отдалечен достъп до компютрите им.

Снимки и базова информация: Mandiant

 

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
14/09/2023

Microsoft предупреждава за ...

Microsoft предупреждава за нова фишинг кампания,...
16/08/2023

Киберпрестъпниците злоупотр...

Използването на Cloudflare R2 от заплахите...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!