Looking for work

Ny malware via jobtilbud på LinkedIn

En mistænkt nordkoreansk hackinggruppe er målrettet mod sikkerhedsanalytikere og medieorganisationer i USA og Europa med falske jobtilbud, der fører til implementering af tre nye, brugerdefinerede malware-familier.

Angriberne bruger social engineering til at overbevise deres mål om at engagere sig over WhatsApp, hvor de slipper malware-nyttelasten “PlankWalk”, en C ++ bagdør, der hjælper dem med at etablere fodfæste i målets virksomhedsmiljø.

Ifølge Mandiant, der har fulgt den særlige kampagne siden juni 2022, overlapper den observerede aktivitet med “Operation Dream Job”, der tilskrives den nordkoreanske klynge kendt som “Lazarus-gruppen”.

Mandiant observerede imidlertid nok forskelle i de anvendte værktøjer, infrastruktur og TTP’er (taktik, teknikker og procedurer) til at tildele denne kampagne til en separat gruppe, de sporer som “UNC2970.”

Desuden bruger angriberne tidligere uset malware ved navn ‘TOUCHMOVE’, ‘SIDESHOW’ og ‘TOUCHSHIFT’, som ikke er blevet tilskrevet nogen kendt trusselsgruppe.

Mandiant siger, at den særlige gruppe tidligere har målrettet tech-virksomheder, mediegrupper og enheder i forsvarsindustrien. Dens seneste kampagne viser, at den har udviklet sit målretningsomfang og tilpasset sine muligheder.

Phishing for at få fodfæste

Hackerne starter deres angreb ved at nærme sig mål over LinkedIn og udgive sig for at være jobrekrutterere. I sidste ende skiftede de til WhatsApp for at fortsætte “rekrutteringsprocessen” og dele et Word-dokument indlejret med ondsindede makroer.

Mandiant siger, at disse Word-dokumenter i nogle tilfælde er stiliseret, så de passer til jobbeskrivelser, som de promoverer til mål. For eksempel efterligner en af de lokker, der deles af Mandiant, New York Times, som vist nedenfor.

Word-dokumentets makroer udfører fjernskabeloninjektion for at hente en trojaniseret version af TightVNC fra kompromitterede WordPress-websteder, der fungerer som angriberens kommando- og kontrolservere.

Mandiant sporer denne specialfremstillede version af TightVNC som “LidShift.” Ved udførelse bruger den reflekterende DLL-injektion til at indlæse en krypteret DLL (trojaniseret Notepad ++ plugin) i systemets hukommelse.

Den indlæste fil er en malware-downloader ved navn “LidShot”, som udfører systemoptælling og implementerer den endelige fodfæste-etablerende nyttelast på den brudte enhed, “PlankWalk.”

Forklædt som Windows-filer

I fasen efter udnyttelse bruger de nordkoreanske hackere en ny, brugerdefineret malware-dropper ved navn “TouchShift”, som forklæder sig som en legitim Windows-binær (mscoree.dll eller netplwix.dll).

TouchShift indlæser derefter et andet skærmbilledeværktøj kaldet “TouchShot”, en keylogger ved navn “TouchKey”, en tunneller ved navn “HookShot”, en ny loader ved navn “TouchMove” og en ny bagdør ved navn “SideShow.”

Den mest interessante af flokken er den nye brugerdefinerede bagdør SideShow, som understøtter i alt 49 kommandoer. Disse kommandoer gør det muligt for en hacker at udføre vilkårlig kodeudførelse på den kompromitterede enhed, ændre registreringsdatabasen, manipulere firewallindstillingerne, tilføje nye planlagte opgaver og udføre yderligere nyttelast.

I nogle tilfælde, hvor de målrettede organisationer ikke brugte en VPN, blev trusselsaktørerne observeret misbruge Microsoft Intune til at implementere “CloudBurst” -malware ved hjælp af PowerShell-scripts.

Dette værktøj forklæder sig også som en legitim Windows-fil, mere specifikt “mscoree.dll”, og dets rolle er at udføre systemoptælling.

Deaktivering af EDR-værktøjer via Zero-Days

En anden rapport offentliggjort af Mandiant i dag fokuserer på “bring your own vulnerable driver” (BYOVD) taktikken efterfulgt af UNC2970 i den seneste kampagne.

Efter at have undersøgt logfilerne på kompromitterede systemer fandt Mandiants analytikere mistænkelige drivere og en ulige DLL-fil (“_SB_SMBUS_SDK.dll”).

Efter yderligere undersøgelse opdagede forskerne, at disse filer var blevet oprettet af en anden fil med navnet “Del.DAT”, en dropper i hukommelsen sporet som “LightShift.”

Dropperen indlæser en tilsløret nyttelast kaldet “LightShow”, som udnytter den sårbare driver til at udføre vilkårlige læse- og skriveoperationer på kernehukommelsen.

Nyttelastens rolle er at lappe kernerutiner, der bruges af EDR -software (Endpoint Detection and Response), hvilket hjælper de ubudne gæster med at undgå detektion.

Især var driveren, der blev brugt i denne kampagne, en ASUS-driver (“Driver7.sys”), som ikke var kendt for at være sårbar på tidspunktet for Mandiants opdagelse, så de nordkoreanske hackere udnyttede en Zero-Days fejl.

Mandiant rapporterede problemet til ASUS i oktober 2022, sårbarheden modtog identifikatoren CVE-2022-42455, og sælgeren løste det via en opdatering udgivet syv dage senere.

Nordkoreanske hackere har tidligere målrettet sikkerhedsforskere, der er involveret i sårbarhed og udnytter udvikling ved at skabe falske online sociale mediepersoner, der foregav at være sårbarhedsforskere.

Disse personaer ville derefter kontakte andre sikkerhedsforskere om potentielt samarbejde inden for sårbarhedsforskning.

Efter at have etableret kontakt med en forsker sendte hackerne ondsindede Visual Studio-projekter og MHTML-filer, der udnyttede en Internet Explorer Zero-Day.

Begge disse lokker blev brugt til at implementere malware på de målrettede forskeres enheder for at få fjernadgang til computere.

Kilde: BleepingComputer

Foto: Pexels

Scroll to Top