Эксперты Mandiant заметили, что северокорейские хакеры сосредоточили свое внимание на ИБ-специалистах. Злоумышленники стараются заразить исследователей вредоносным ПО, в надежде проникнуть в сети компаний, на которые работают цели.
В Mandiant рассказывают, что впервые обнаружили эту кампанию в июне 2022 года, когда отслеживал фишинговую кампанию, нацеленную на американского клиента из технологической отрасли. Тогда хакеры пытались заразить цель тремя новыми семействами малвари (Touchmove, Sideshow и Touchshift).
Вскоре после этого произошла волна атак на американские и европейские СМИ со стороны группировки UNC2970, которую Mandiant связывает с Северной Кореей. Для этих атак UNC2970 использовала целевой почтовый фишинг, замаскированный под предложения о работе, пытаясь вынудить свои цели установить малварь.
Исследователи говорят, что недавно UNC2970 изменила тактику и теперь вместо фишинговых писем перешла на использование фейковых аккаунтов LinkedIn, якобы принадлежащих HR. Такие учетные записи тщательно имитируют личности реально существующих людей, чтобы обмануть жертв и повысить шансы на успех атаки.
Связавшись с жертвой и сделав ей «интересное предложение» о работе, злоумышленники пытаются перевести разговор в WhatsApp, а затем использовать либо сам мессенджер, либо электронную почту для доставки бэкдора, который в Mandiant назвали Plankwalk, а также других семейств малвари.
Plankwalk и другие вредоносы группы в основном используют макросы в Microsoft Word. Когда документ открыт и запуск макросов разрешен, машина цели загружает и выполняет вредоносную полезную нагрузку с серверов хакеров (их роль в основном играют взломанные сайты на WordPress). В итоге на машину цели доставляется ZIP-архив, который, помимо прочего, содержит вредоносную версию приложения TightVNC для удаленного доступа к рабочему столу, которую Mandiant отслеживает под названием LIDSHIFT.
Один из использованных для атак документов можно увидеть ниже, здесь хакеры выдают себя за New York Times.
«Жертве велят запустить приложение TightVNC, имя которого, наряду с другими файлами, соответствует компании, в которой жертва планирует пройти тестирование.
TightVNC выступает не только в роли легитимного средства для доступа к удаленному рабочему столу, также LIDSHIFT содержит множество скрытых функций. Первая заключается в том, что после выполнения пользователем вредоносная программа отправляет “маяк” на свой жестко закодированный C&C-сервер. При этом единственным действием, которое требовалось от пользователя, был запуск самой программы. Этот маяк LIDSHIFT содержит исходное имя пользователя и имя хоста жертвы.
Вторая возможность LIDSHIFT заключается в инжекте зашифрованной DLL в память. DLL представляет собой троянизированный плагин Notepad++, который функционирует как загрузчик и отслеживается под названием LIDSHOT. LIDSHOT внедряется, как только жертва открывает раскрывающийся список в приложении TightVNC Viewer. LIDSHOT выполняет две основные функции: перечисление, а также загрузку и выполнение шелл-кода с управляющего сервера», — гласит отчет Mandiant.
В итоге Plankwalk прокладывает путь для внедрения дополнительных инструментов на машину цели, включая:
- TOUCHHIFT — дроппер, который загружает другую малварь, начиная от кейлоггеров и утилит для создания скриншотов и заканчивая полнофункциональными бэкдорами;
- TOUCHSHOT — делает скриншоты каждые три секунды;
- TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и перехватывающий данные из буфера обмена;
- HOOKSHOT — инструмент туннелирования, который подключается через TCP для связи с сервером управляющим сервером;
- TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки;
- SIDESHOW — бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим управляющим сервером.
Также сообщается, что UNC2970 использовала Microsoft Intune для управления конечными точками и загрузки PowerShell-скрипта, содержащего полезную нагрузку в виде бэкдора CLOUDBURST, написанного C. Предполагается, что UNC2970 использует это легитимное приложение для обхода защиты эндпойнтов.
«Хотя ранее группировка нацеливалась на оборонную, медиа- и технологическую отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение деятельности UNC2970», — заключают специалисты.