Търсене
Close this search box.

По данни на Mandiant от Google Cloud севернокорейски колектив, проследен като UNC2970, използва примамки, свързани с работата, за да достави нов зловреден софтуер на лица, работещи в сектори на критичната инфраструктура.

За първи път Mandiant описва подробно дейностите на UNC2970 и връзките му със Северна Корея през март 2023 г., след като групата за кибершпионаж е забелязана да се опитва да достави зловреден софтуер на изследователи в областта на сигурността.

Групата съществува поне от юни 2022 г. и първоначално е наблюдавана да се насочва към медийни и технологични организации в САЩ и Европа с имейли на тема набиране на работа.

В публикация в блога, публикувана в сряда, Mandiant съобщава, че е видяла цели на UNC2970 в САЩ, Обединеното кралство, Нидерландия, Кипър, Германия, Швеция, Сингапур, Хонконг и Австралия.

Според Mandiant неотдавнашните атаки са били насочени към лица от аерокосмическия и енергийния сектор в САЩ. Хакерите са продължили да използват съобщения на тема работа, за да доставят зловреден софтуер на жертвите.

UNC2970 се е свързвал с потенциалните жертви по електронна поща и WhatsApp, като е твърдял, че е лице, което набира персонал за големи компании.

Жертвата получава защитен с парола архивен файл, който очевидно съдържа PDF документ с описание на работата. Въпреки това PDF документът е криптиран и може да бъде отворен само с троянизирана версия на безплатния и отворен браузър за документи Sumatra PDF, който също се предоставя заедно с документа.

Mandiant посочи, че атаката не използва никаква уязвимост на Sumatra PDF и приложението не е било компрометирано. Хакерите просто са модифицирали кода с отворен код на приложението, така че при изпълнението му да се стартира дропър, проследен от Mandiant като BurnBook.

BurnBook на свой ред разгръща зареждащо устройство, проследено като TearPage, което разгръща нова задна врата, наречена MistPen. Това е лека задна врата, предназначена за изтегляне и изпълнение на PE файлове в компрометираната система.

Що се отнася до описанията на длъжностите, използвани като примамка, севернокорейските кибершпиони са взели текста на реални обяви за работа и са го променили, за да съответства по-добре на профила на жертвата.

„Избраните описания на длъжностите са насочени към служители на висше/мениджърско ниво. Това подсказва, че извършителят на заплахата цели да получи достъп до чувствителна и поверителна информация, която обикновено е ограничена до служителите на по-високо ниво“, казва Mandiant.

Mandiant не назовава имената на подставените компании, но екранна снимка на фалшиво описание на длъжността показва, че е използвана обява за работа на BAE Systems, за да се насочи към аерокосмическата индустрия. Друга фалшива длъжностна характеристика е била за неназована мултинационална енергийна компания.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
08/10/2024

Как технологията ACR на Sam...

Смарт телевизорите на големи производители като...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!