Заподозряна севернокорейска хакерска група се насочва към изследователи по сигурността и медийни организации в САЩ и Европа с фалшиви предложения за работа, които водят до внедряването на три нови, персонализирани семейства зловреден софтуер.

Нападателите използват социално инженерство, за да убедят целите си да се включат чрез WhatsApp, където пускат полезния товар на зловредния софтуер „PlankWalk“ – задна врата на C++, която им помага да се установят в корпоративната среда на целта.

Според Mandiant, която проследява конкретната кампания от юни 2022 г., наблюдаваната дейност се припокрива с „Операция Dream Job“, приписвана на севернокорейския клъстер, известен като „групата Лазар“.

Mandiant обаче наблюдава достатъчно разлики в използваните инструменти, инфраструктура и TTP (тактики, техники и процедури), за да отнесе тази кампания към отделна група, която следи като „UNC2970“.

Освен това нападателите използват невиждан досега зловреден софтуер с имена „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, които не са били приписвани на никоя известна група за заплахи.

От Mandiant твърдят, че конкретната група преди това се е насочвала към технологични фирми, медийни групи и структури от отбранителната индустрия. Последната ѝ кампания показва, че тя е разширила обхвата на целите си и е адаптирала възможностите си.

Фишингът се утвърждава

Хакерите започват атаката си, като се обръщат към целите чрез LinkedIn, представяйки се за лица, набиращи персонал за работа. В крайна сметка те се прехвърлят към WhatsApp, за да продължат процеса на „набиране“, като споделят документ на Word, вграден със злонамерени макроси.

От Mandiant твърдят, че в някои случаи тези Word документи са стилизирани така, че да отговарят на описанията на длъжностите, които те популяризират сред целите. Например една от примамките, споделена от Mandiant, се представя за New York Times, както е показано по-долу.

Макросите на Word документа извършват инжектиране на отдалечен шаблон, за да изтеглят троянизирана версия на TightVNC от компрометирани WordPress сайтове, които служат като сървъри за командване и контрол на нападателя.

Mandiant проследява тази специално създадена версия на TightVNC като „LidShift“. При изпълнението си тя използва отразяващо инжектиране на DLL, за да зареди криптиран DLL (троянизирана приставка за Notepad++) в паметта на системата.

Зареденият файл е програма за изтегляне на зловреден софтуер с име „LidShot“, която извършва преброяване на системата и разполага крайния полезен товар за създаване на опорна точка на пробитото устройство – „PlankWalk“.

Маскиране като файлове на Windows

По време на фазата след експлоатирането севернокорейските хакери използват нов, персонализиран дропър за зловреден софтуер, наречен „TouchShift“, който се маскира като легитимен двоичен файл на Windows (mscoree.dll или netplwix.dll).

След това TouchShift зарежда друга програма за правене на снимки на екрана, наречена „TouchShot“, кийлогър, наречен „TouchKey“, тунел, наречен „HookShot“, нов зареждащ модул, наречен „TouchMove“, и нова задна врата, наречена „SideShow“.

Най-интересен от тях е новият персонализиран backdoor SideShow, който поддържа общо 49 команди. Тези команди позволяват на нападателя да извършва произволно изпълнение на код на компрометираното устройство, да променя регистъра, да манипулира настройките на защитната стена, да добавя нови планирани задачи и да изпълнява допълнителни полезни товари.

В някои случаи, когато целевите организации не са използвали VPN, е наблюдавано, че хакерите са злоупотребявали с Microsoft Intune, за да разгърнат зловредния софтуер „CloudBurst“ с помощта на PowerShell скриптове.

Този инструмент също се маскира като легитимен файл на Windows, по-конкретно „mscoree.dll“, и ролята му е да извършва преброяване на системата.

Деактивиране на EDR инструменти чрез нулев ден

Вторият доклад, публикуван днес от Mandiant, се фокусира върху тактиката „донеси свой уязвим драйвер“ (BYOVD), следвана от UNC2970 в последната кампания.

След като проучиха дневниците на компрометираните системи, анализаторите на Mandiant откриха подозрителни драйвери и странен DLL файл („_SB_SMBUS_SDK.dll“).

При по-нататъшно разследване изследователите откриха, че тези файлове са създадени от друг файл с име „Share.DAT“, дропър в паметта, проследен като „LightShift“.

Dropper-ът зарежда закрит полезен товар, наречен „LightShow“, който използва уязвимия драйвер, за да извършва произволни операции за четене и запис в паметта на ядрото.

Ролята на полезния товар е да поправя рутинни процедури на ядрото, използвани от софтуера EDR (Endpoint Detection and Response), което помага на нарушителите да избегнат откриване.

Забележително е, че драйверът, използван в тази кампания, е бил драйвер на ASUS („Driver7.sys“), за който не е било известно, че е уязвим към момента на откриването му от Mandiant, така че севернокорейските хакери са използвали недостатък от нулев ден.

Mandiant съобщи за проблема на ASUS през октомври 2022 г., уязвимостта получи идентификатор CVE-2022-42455 и производителят я отстрани чрез актуализация, пусната седем дни по-късно.

Преди това севернокорейски хакери са се насочвали към изследователи по сигурността, занимаващи се с разработване на уязвимости и експлойти, като са създавали фалшиви образи в социалните мрежи онлайн, които са се представяли за изследователи на уязвимости.

След това тези лица се свързваха с други изследователи в областта на сигурността за потенциално сътрудничество в изследването на уязвимости.

След като установяват контакт с изследовател, хакерите изпращат зловредни проекти на Visual Studio и MHTML файлове, които използват нулев ден в Internet Explorer.

И двете примамки бяха използвани за инсталиране на зловреден софтуер на устройствата на целевите изследователи, за да се получи отдалечен достъп до компютрите им.

Снимки и базова информация: Mandiant