Especialistas da Mandiant notaram que hackers norte-coreanos concentraram sua atenção e ataques em especialistas em segurança da informação. Os invasores tentam infectar pesquisadores com malware na esperança de se infiltrar nas redes das empresas para as quais os alvos trabalham.
Deixe-me lembrá-lo de que também escrevemos isso Aproximadamente 50% dos líderes de segurança cibernética mudarão de emprego 2025, e também isso Microsoft acusou a Rússia e a Coreia do Norte de ataques a empresas farmacêuticas.
A mídia também escreveu que FBI Links norte-coreanos Lázaro Hackers para Harmonia Hackear e $100 Roubo de um milhão.
Mandiant diz isso descobriu pela primeira vez a campanha de hackers norte-coreana em junho 2022 enquanto rastreava uma campanha de phishing direcionada a um cliente de tecnologia dos EUA. Em seguida, os hackers tentaram infectar o alvo com três novas famílias de malware (Toque em movimento, Show secundário e Mudança de toque).
Pouco depois, houve uma onda de ataques à mídia americana e europeia por parte do UNC2970 grupo, que a Mandiant liga à Coreia do Norte. Para esses ataques, UNC2970 usou e-mails de spear-phishing disfarçados de ofertas de emprego na tentativa de coagir seus alvos a instalar o malware.
Os pesquisadores dizem que o UNC2970 mudou recentemente de tática e agora deixou de usar e-mails de phishing para usar e-mails falsos. LinkedIn contas supostamente pertencentes ao RH. Tais contas imitam cuidadosamente as identidades de pessoas reais, a fim de enganar as vítimas e aumentar as chances de o ataque ser bem-sucedido..
Depois de contactar a vítima e fazer-lhe uma “oferta de emprego interessante”, os invasores tentam transferir a conversa para Whatsapp, e então use o próprio mensageiro ou e-mail para entregar o backdoor, que Mandiant chamou Passarela, bem como outras famílias de malware.
Plankwalk e outros malwares do grupo usam principalmente macros no Microsoft Word. Quando o documento está aberto e as macros estão habilitadas, a máquina alvo baixa e executa a carga maliciosa dos hackers’ servidores (principalmente hackeado WordPress sites). Como resultado, um arquivo ZIP é entregue na máquina de destino, qual, entre outras coisas, contém uma versão maliciosa do ApertadoVNC aplicativo de área de trabalho remota que a Mandiant monitora sob o nome MUDANÇA DE TAMPA.
Um dos documentos utilizados para os ataques pode ser visto abaixo, onde os hackers personificam o New York Times.
O TightVNC não atua apenas como uma ferramenta legítima de acesso remoto à área de trabalho, LIDSHIFT também contém muitos recursos ocultos. A primeira é que uma vez executado pelo usuário, o malware envia um beacon para seu C codificado&Servidor C. Nesse caso, a única ação exigida do usuário foi o lançamento do próprio programa. Este beacon LIDSHIFT contém o nome de usuário e o nome do host originais da vítima.
O segundo recurso do LIDSHIFT é injetar uma DLL criptografada na memória. DLL é um plugin do Notepad++ trojanizado que funciona como um carregador e é rastreado sob o nome LIDSHOT. LIDSHOT é injetado assim que a vítima abre o menu suspenso no aplicativo TightVNC Viewer.
LIDSHOT executa duas funções principais: enumeração, bem como baixar e executar shellcode do servidor de gerenciamento.diz o relatório Mandiant.
Como resultado, Plankwalk abre caminho para a introdução de ferramentas adicionais na máquina alvo, Incluindo:
- TOQUE é um conta-gotas que baixa outros malwares, variando de keyloggers e utilitários de captura de tela até backdoors completos;
- TOQUE – faz capturas de tela a cada três segundos;
- TECLA DE TOQUE – um keylogger que captura as teclas digitadas e intercepta dados da área de transferência;
- GANCHO é uma ferramenta de tunelamento que se conecta via TCP para se comunicar com o servidor de gerenciamento do servidor;
- TOUCHMOVE – um carregador projetado para descriptografar e executar uma carga útil;
- SIDESHOW é um backdoor AC/C++ que executa comandos arbitrários e se comunica via solicitações HTTP POST com seu servidor de comando e controle.
Também é relatado que UNC2970 usou o Microsoft Intune para gerenciar endpoints e baixar um script do PowerShell contendo uma carga útil na forma de um EXPLOSÃO DE NUVEM backdoor escrito em C. Presume-se que UNC2970 usa este aplicativo legítimo para ignorar a proteção de endpoint.
