MKD-CIRT National Centre for Computer Incident Response
Осомничена севернокорејска хакерска група таргетира истражувачи за безбедност и медиумски организации во САД и Европа со лажни понуди за работа што водат до ширење на три нови варијанти на малициозен софтвер.
Напаѓачите користат social engineering за да ги убедат жртвите да се вклучат преку WhatsApp, каде што испуштаат malware payload „PlankWalk“, C++ backdoor што им помага да воспостават основа во корпоративната средина.
Според Mandiant, кој ја следи конкретната кампања од јуни 2022 година, набљудуваната активност се преклопува со „Операција Dream Job“, која му се припишува на севернокорејскиот кластер познат како „Lazarus group“.
Сепак, Mandiant забележа доволно разлики во употребените алатки, инфраструктура и TTP (тактики, техники и процедури) за да ја припише оваа кампања на посебна група што ја следат како „UNC2970“.
Напаѓачите користат претходно невиден малициозен софтвер со име „TOUCHMOVE“, „SIDESHOW“ и „TOUCHSHIFT“, кои не се припишуваат на ниту една позната група за закана.
Mandiant изјави дека конкретната група претходно била насочена кон технолошки фирми, медиумски групи и субјекти во одбранбената индустрија. Нејзината последна кампања покажува дека еволуирала и ги адаптирала своите способности.
Хакерите го започнуваат својот напад со приближување на жртвите преку LinkedIn, претставувајќи се како регрутери за работа. На крајот, тие се префрлија на WhatsApp за да го продолжат процесот на „регрутирање“, споделувајќи Word документ вграден со малициозни макроа.
Mandiant изјави дека во некои случаи, овие Word документи се едитирани за да одговараат на описите на работните места што ги промовираат на жртвите.
Макроата на Word документот вршат вметнување на далечински шаблон за да добијат тројанизирана верзија на TightVNC од компромитирани WordPress сајтови кои служат како сервери за команди и контрола на напаѓачот.
Mandiant ја следи оваа верзија на TightVNC како „LidShift“. По извршувањето, користи рефлектирачко DLL вметнување за да вчита шифриран DLL (тројанизиран Notepad++ plugin) во меморијата на системот.
Вчитаната датотека е преземач на малициозен софтвер наречен „LidShot“, кој врши системско набројување и го распоредува последниот payload, „PlankWalk“.
За време на post-exploitation фазата, севернокорејските хакери користат нов, приспособен малициозен софтвер наречен „TouchShift“, кој се маскира како легитимен Windows binary (mscoree.dll или netplwix.dll).
TouchShift потоа вчитува друга алатка за слики од екранот наречена „TouchShot“, keylogger наречен „TouchKey“, tunneller наречен „HookShot“, нов вчитувач со име „TouchMove“ и нов backdoor наречен „SideShow“.
Најинтересен е новиот прилагоден backdoor SideShow, која поддржува вкупно 49 команди. Овие команди му овозможуваат на напаѓачот да изврши произволно извршување на код на компромитиран уред, да го модифицира регистарот, да манипулира со поставките на заштитниот ѕид, да додава нови задачи и да извршува дополнителни payloads.
Во некои случаи кога таргетираните организации не користеле VPN, беше забележано дека хакерите го злоупотребуваат Microsoft Intune за да го шират малициозниот софтвер „CloudBurst“ користејќи PowerShell скрипти.
Таа алатка, исто така, се маскира како легитимна Windows датотека, поконкретно, „mscoree.dll“, а нејзината улога е да врши системско набројување.
Вториот извештај објавен од страна на Mandiant денес се фокусира на тактиката „bring your own vulnerable driver “ (BYOVD) проследена со UNC2970 во последната кампања.
По испитувањето на логовите на компромитирани системи, аналитичарите на Mandiant пронајдоа сомнителни драјвери и DLL-датотека („_SB_SMBUS_SDK.dll“).
По понатамошна истрага, истражувачите открија дека овие датотеки се создадени од друга датотека наречена „Share.DAT“.
Улогата на payload е да ги закрпи рутините на кернелот што ги користи EDR софтверот (Endpoint Detection and Response), помагајќи им на напаѓачите да избегнат откривање.
Имено, двигателот што се користеше во оваа кампања беше ASUS driver („Driver7.sys“) за кој не се знаеше дека е ранлив во времето на откривањето на Mandiant, па севернокорејските хакери искористуваа zero-day пропуст.
Mandiant го пријави проблемот во ASUS во октомври 2022 година, ранливоста го доби идентификаторот CVE-2022-42455, а driver-от го поправи преку ажурирање објавено седум дена подоцна.
Севернокорејските хакери претходно ги таргетираа истражувачите за безбедност вклучени во ранливоста и го експлоатираат развојот со создавање на лажни онлајн личности на социјалните медиуми кои се преправаа дека се истражувачи за ранливост.
Овие личности потоа ќе контактираат со други истражувачи за безбедност за потенцијална соработка во истражувањето на ранливоста.
Откако воспоставиле контакт со истражувач, хакерите испратиле малициозни Visual Studio проекти и MHTML-датотеки кои го експлоатираат zero-day на Internet Explorer.
И двете мамки беа искористени за ширење на малициозен софтвер на уредите на таргетираните истражувачи за да се добие далечински пристап до компјутерите.
Извор: BleepingComputer
