Севернокорейски атаки започват от LinkedIn

Заподозряна севернокорейска хакерска група се насочва към изследователи по сигурността и медийни организации в САЩ и Европа с фалшиви предложения за работа, които водят до внедряването на три нови, персонализирани семейства зловреден софтуер.

Нападателите използват социално инженерство, за да убедят целите си да се включат чрез WhatsApp, където пускат полезния товар на зловредния софтуер „PlankWalk“ – задна врата на C++, която им помага да се установят в корпоративната среда на целта.

Според Mandiant, която проследява конкретната кампания от юни 2022 г., наблюдаваната дейност се припокрива с „Операция Dream Job“, приписвана на севернокорейския клъстер, известен като „групата Лазар“.

Mandiant обаче наблюдава достатъчно разлики в използваните инструменти, инфраструктура и TTP (тактики, техники и процедури), за да отнесе тази кампания към отделна група, която следи като „UNC2970“.

Освен това нападателите използват невиждан досега зловреден софтуер с имена „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, които не са били приписвани на никоя известна група за заплахи.

От Mandiant твърдят, че конкретната група преди това се е насочвала към технологични фирми, медийни групи и структури от отбранителната индустрия. Последната ѝ кампания показва, че тя е разширила обхвата на целите си и е адаптирала възможностите си.

Фишингът се утвърждава

Хакерите започват атаката си, като се обръщат към целите чрез LinkedIn, представяйки се за лица, набиращи персонал за работа. В крайна сметка те се прехвърлят към WhatsApp, за да продължат процеса на „набиране“, като споделят документ на Word, вграден със злонамерени макроси.

От Mandiant твърдят, че в някои случаи тези Word документи са стилизирани така, че да отговарят на описанията на длъжностите, които те популяризират сред целите. Например една от примамките, споделена от Mandiant, се представя за New York Times, както е показано по-долу.

 

Макросите на Word документа извършват инжектиране на отдалечен шаблон, за да изтеглят троянизирана версия на TightVNC от компрометирани WordPress сайтове, които служат като сървъри за командване и контрол на нападателя.

Mandiant проследява тази специално създадена версия на TightVNC като „LidShift“. При изпълнението си тя използва отразяващо инжектиране на DLL, за да зареди криптиран DLL (троянизирана приставка за Notepad++) в паметта на системата.

Зареденият файл е програма за изтегляне на зловреден софтуер с име „LidShot“, която извършва преброяване на системата и разполага крайния полезен товар за създаване на опорна точка на пробитото устройство – „PlankWalk“.

Маскиране като файлове на Windows

По време на фазата след експлоатирането севернокорейските хакери използват нов, персонализиран дропър за зловреден софтуер, наречен „TouchShift“, който се маскира като легитимен двоичен файл на Windows (mscoree.dll или netplwix.dll).

След това TouchShift зарежда друга програма за правене на снимки на екрана, наречена „TouchShot“, кийлогър, наречен „TouchKey“, тунел, наречен „HookShot“, нов зареждащ модул, наречен „TouchMove“, и нова задна врата, наречена „SideShow“.

Най-интересен от тях е новият персонализиран backdoor SideShow, който поддържа общо 49 команди. Тези команди позволяват на нападателя да извършва произволно изпълнение на код на компрометираното устройство, да променя регистъра, да манипулира настройките на защитната стена, да добавя нови планирани задачи и да изпълнява допълнителни полезни товари.

В някои случаи, когато целевите организации не са използвали VPN, е наблюдавано, че хакерите са злоупотребявали с Microsoft Intune, за да разгърнат зловредния софтуер „CloudBurst“ с помощта на PowerShell скриптове.

Този инструмент също се маскира като легитимен файл на Windows, по-конкретно „mscoree.dll“, и ролята му е да извършва преброяване на системата.

Деактивиране на EDR инструменти чрез нулев ден

Вторият доклад, публикуван днес от Mandiant, се фокусира върху тактиката „донеси свой уязвим драйвер“ (BYOVD), следвана от UNC2970 в последната кампания.

След като проучиха дневниците на компрометираните системи, анализаторите на Mandiant откриха подозрителни драйвери и странен DLL файл („_SB_SMBUS_SDK.dll“).

При по-нататъшно разследване изследователите откриха, че тези файлове са създадени от друг файл с име „Share.DAT“, дропър в паметта, проследен като „LightShift“.

Dropper-ът зарежда закрит полезен товар, наречен „LightShow“, който използва уязвимия драйвер, за да извършва произволни операции за четене и запис в паметта на ядрото.

Ролята на полезния товар е да поправя рутинни процедури на ядрото, използвани от софтуера EDR (Endpoint Detection and Response), което помага на нарушителите да избегнат откриване.

Забележително е, че драйверът, използван в тази кампания, е бил драйвер на ASUS („Driver7.sys“), за който не е било известно, че е уязвим към момента на откриването му от Mandiant, така че севернокорейските хакери са използвали недостатък от нулев ден.

Mandiant съобщи за проблема на ASUS през октомври 2022 г., уязвимостта получи идентификатор CVE-2022-42455 и производителят я отстрани чрез актуализация, пусната седем дни по-късно.

Преди това севернокорейски хакери са се насочвали към изследователи по сигурността, занимаващи се с разработване на уязвимости и експлойти, като са създавали фалшиви образи в социалните мрежи онлайн, които са се представяли за изследователи на уязвимости.

След това тези лица се свързваха с други изследователи в областта на сигурността за потенциално сътрудничество в изследването на уязвимости.

След като установяват контакт с изследовател, хакерите изпращат зловредни проекти на Visual Studio и MHTML файлове, които използват нулев ден в Internet Explorer.

И двете примамки бяха използвани за инсталиране на зловреден софтуер на устройствата на целевите изследователи, за да се получи отдалечен достъп до компютрите им.

Снимки и базова информация: Mandiant

 

Източник: По материали от Интернет

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
16 март 2023

Различни методи и етапи на тестовете за проникване

Залогът за киберзащитниците не може да бъде по-голям. При огромните...
Бъдете социални
Още по темата
10/03/2023

Microsoft: Бизнес имейли мо...

Екипът на Microsoft Security Intelligence наскоро...
23/12/2022

Kитоловният фишинг

Случвало ли ви се е да...
23/11/2022

12-те най-използвани техник...

Някои от най-разпространените и най-ефективни методи...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!