Търсене
Close this search box.

Севернокорейски атаки започват от LinkedIn

Заподозряна севернокорейска хакерска група се насочва към изследователи по сигурността и медийни организации в САЩ и Европа с фалшиви предложения за работа, които водят до внедряването на три нови, персонализирани семейства зловреден софтуер.

Нападателите използват социално инженерство, за да убедят целите си да се включат чрез WhatsApp, където пускат полезния товар на зловредния софтуер „PlankWalk“ – задна врата на C++, която им помага да се установят в корпоративната среда на целта.

Според Mandiant, която проследява конкретната кампания от юни 2022 г., наблюдаваната дейност се припокрива с „Операция Dream Job“, приписвана на севернокорейския клъстер, известен като „групата Лазар“.

Mandiant обаче наблюдава достатъчно разлики в използваните инструменти, инфраструктура и TTP (тактики, техники и процедури), за да отнесе тази кампания към отделна група, която следи като „UNC2970“.

Освен това нападателите използват невиждан досега зловреден софтуер с имена „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, които не са били приписвани на никоя известна група за заплахи.

От Mandiant твърдят, че конкретната група преди това се е насочвала към технологични фирми, медийни групи и структури от отбранителната индустрия. Последната ѝ кампания показва, че тя е разширила обхвата на целите си и е адаптирала възможностите си.

Фишингът се утвърждава

Хакерите започват атаката си, като се обръщат към целите чрез LinkedIn, представяйки се за лица, набиращи персонал за работа. В крайна сметка те се прехвърлят към WhatsApp, за да продължат процеса на „набиране“, като споделят документ на Word, вграден със злонамерени макроси.

От Mandiant твърдят, че в някои случаи тези Word документи са стилизирани така, че да отговарят на описанията на длъжностите, които те популяризират сред целите. Например една от примамките, споделена от Mandiant, се представя за New York Times, както е показано по-долу.

 

Макросите на Word документа извършват инжектиране на отдалечен шаблон, за да изтеглят троянизирана версия на TightVNC от компрометирани WordPress сайтове, които служат като сървъри за командване и контрол на нападателя.

Mandiant проследява тази специално създадена версия на TightVNC като „LidShift“. При изпълнението си тя използва отразяващо инжектиране на DLL, за да зареди криптиран DLL (троянизирана приставка за Notepad++) в паметта на системата.

Зареденият файл е програма за изтегляне на зловреден софтуер с име „LidShot“, която извършва преброяване на системата и разполага крайния полезен товар за създаване на опорна точка на пробитото устройство – „PlankWalk“.

Маскиране като файлове на Windows

По време на фазата след експлоатирането севернокорейските хакери използват нов, персонализиран дропър за зловреден софтуер, наречен „TouchShift“, който се маскира като легитимен двоичен файл на Windows (mscoree.dll или netplwix.dll).

След това TouchShift зарежда друга програма за правене на снимки на екрана, наречена „TouchShot“, кийлогър, наречен „TouchKey“, тунел, наречен „HookShot“, нов зареждащ модул, наречен „TouchMove“, и нова задна врата, наречена „SideShow“.

Най-интересен от тях е новият персонализиран backdoor SideShow, който поддържа общо 49 команди. Тези команди позволяват на нападателя да извършва произволно изпълнение на код на компрометираното устройство, да променя регистъра, да манипулира настройките на защитната стена, да добавя нови планирани задачи и да изпълнява допълнителни полезни товари.

В някои случаи, когато целевите организации не са използвали VPN, е наблюдавано, че хакерите са злоупотребявали с Microsoft Intune, за да разгърнат зловредния софтуер „CloudBurst“ с помощта на PowerShell скриптове.

Този инструмент също се маскира като легитимен файл на Windows, по-конкретно „mscoree.dll“, и ролята му е да извършва преброяване на системата.

Деактивиране на EDR инструменти чрез нулев ден

Вторият доклад, публикуван днес от Mandiant, се фокусира върху тактиката „донеси свой уязвим драйвер“ (BYOVD), следвана от UNC2970 в последната кампания.

След като проучиха дневниците на компрометираните системи, анализаторите на Mandiant откриха подозрителни драйвери и странен DLL файл („_SB_SMBUS_SDK.dll“).

При по-нататъшно разследване изследователите откриха, че тези файлове са създадени от друг файл с име „Share.DAT“, дропър в паметта, проследен като „LightShift“.

Dropper-ът зарежда закрит полезен товар, наречен „LightShow“, който използва уязвимия драйвер, за да извършва произволни операции за четене и запис в паметта на ядрото.

Ролята на полезния товар е да поправя рутинни процедури на ядрото, използвани от софтуера EDR (Endpoint Detection and Response), което помага на нарушителите да избегнат откриване.

Забележително е, че драйверът, използван в тази кампания, е бил драйвер на ASUS („Driver7.sys“), за който не е било известно, че е уязвим към момента на откриването му от Mandiant, така че севернокорейските хакери са използвали недостатък от нулев ден.

Mandiant съобщи за проблема на ASUS през октомври 2022 г., уязвимостта получи идентификатор CVE-2022-42455 и производителят я отстрани чрез актуализация, пусната седем дни по-късно.

Преди това севернокорейски хакери са се насочвали към изследователи по сигурността, занимаващи се с разработване на уязвимости и експлойти, като са създавали фалшиви образи в социалните мрежи онлайн, които са се представяли за изследователи на уязвимости.

След това тези лица се свързваха с други изследователи в областта на сигурността за потенциално сътрудничество в изследването на уязвимости.

След като установяват контакт с изследовател, хакерите изпращат зловредни проекти на Visual Studio и MHTML файлове, които използват нулев ден в Internet Explorer.

И двете примамки бяха използвани за инсталиране на зловреден софтуер на устройствата на целевите изследователи, за да се получи отдалечен достъп до компютрите им.

Снимки и базова информация: Mandiant

 

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
Бъдете социални
Още по темата
27/02/2024

SubdoMailing - развива се а...

Мащабна кампания за рекламни измами, наречена...
15/02/2024

Увеличават се атаките с QR ...

През последното тримесечие броят на имейл...
14/02/2024

Deepfake демокрация: Технол...

Неотдавнашните събития, включително генерираното от изкуствен...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!