По данни на Mandiant от Google Cloud севернокорейски колектив, проследен като UNC2970, използва примамки, свързани с работата, за да достави нов зловреден софтуер на лица, работещи в сектори на критичната инфраструктура.
За първи път Mandiant описва подробно дейностите на UNC2970 и връзките му със Северна Корея през март 2023 г., след като групата за кибершпионаж е забелязана да се опитва да достави зловреден софтуер на изследователи в областта на сигурността.
Групата съществува поне от юни 2022 г. и първоначално е наблюдавана да се насочва към медийни и технологични организации в САЩ и Европа с имейли на тема набиране на работа.
В публикация в блога, публикувана в сряда, Mandiant съобщава, че е видяла цели на UNC2970 в САЩ, Обединеното кралство, Нидерландия, Кипър, Германия, Швеция, Сингапур, Хонконг и Австралия.
Според Mandiant неотдавнашните атаки са били насочени към лица от аерокосмическия и енергийния сектор в САЩ. Хакерите са продължили да използват съобщения на тема работа, за да доставят зловреден софтуер на жертвите.
UNC2970 се е свързвал с потенциалните жертви по електронна поща и WhatsApp, като е твърдял, че е лице, което набира персонал за големи компании.
Жертвата получава защитен с парола архивен файл, който очевидно съдържа PDF документ с описание на работата. Въпреки това PDF документът е криптиран и може да бъде отворен само с троянизирана версия на безплатния и отворен браузър за документи Sumatra PDF, който също се предоставя заедно с документа.
Mandiant посочи, че атаката не използва никаква уязвимост на Sumatra PDF и приложението не е било компрометирано. Хакерите просто са модифицирали кода с отворен код на приложението, така че при изпълнението му да се стартира дропър, проследен от Mandiant като BurnBook.
BurnBook на свой ред разгръща зареждащо устройство, проследено като TearPage, което разгръща нова задна врата, наречена MistPen. Това е лека задна врата, предназначена за изтегляне и изпълнение на PE файлове в компрометираната система.
Що се отнася до описанията на длъжностите, използвани като примамка, севернокорейските кибершпиони са взели текста на реални обяви за работа и са го променили, за да съответства по-добре на профила на жертвата.
„Избраните описания на длъжностите са насочени към служители на висше/мениджърско ниво. Това подсказва, че извършителят на заплахата цели да получи достъп до чувствителна и поверителна информация, която обикновено е ограничена до служителите на по-високо ниво“, казва Mandiant.
Mandiant не назовава имената на подставените компании, но екранна снимка на фалшиво описание на длъжността показва, че е използвана обява за работа на BAE Systems, за да се насочи към аерокосмическата индустрия. Друга фалшива длъжностна характеристика е била за неназована мултинационална енергийна компания.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.