Mandiant: cеверокорейские хакеры нацелились на исследователей безопасности с помощью нового бэкдора

11.03.3023

В обнаруженной хакерской кампании используются тщательно созданные аккаунты LinkedIn, имитирующие реальных людей.

По словам исследователей, исполнители, связанные с правительством Северной Кореи, нацелились на исследователей в области безопасности в рамках хакерской кампании, которая использует новые методы и вредоносное ПО в надежде закрепиться в компаниях, на которые работают выбранные специалисты по информационной безопасности.

Исследователи из Mandiant заявили в четверг, что впервые они заметили атаку в июне прошлого года, отслеживая фишинговую кампанию, нацеленную на американского клиента из технологической отрасли. Хакеры в этой кампании попытались заразить цели тремя новыми семействами вредоносных программ, названными Mandiant Touchmove, Sideshow и Touchshift. Хакеры, участвовавшие в этих атаках, также продемонстрировали новые возможности противодействия средствам обнаружения конечных точек при работе целей в облачных средах.

“Mandiant подозревает, что UNC2970 специально нацелился на исследователей безопасности в этой операции”, - написали исследователи Mandiant.

Вскоре после обнаружения хакерской кампании Mandiant отреагировала на многочисленные вторжения в американские и европейские медиа-организации хакерской группировки UNC2970, так Mandiant называет северокорейского исполнителя. UNC2970 использовал методы скрытой охоты за головами, применяемые рекрутинговыми агентствами, в попытке заманить цели и обманом заставить их установить новое вредоносное ПО.

Традиционно UNC2970 нацеливался на организации с помощью фишинговых электронных писем с тематикой подбора персонала. Совсем недавно группа перешла на использование поддельных аккаунтов LinkedIn, принадлежащих предполагаемым рекрутерам. Учетные записи тщательно созданы таким образом, чтобы имитировать личности реальных людей, чтобы обмануть цели и повысить шансы на успех. В конце концов, мошенник пытается перенести разговоры в WhatsApp и оттуда использовать WhatsApp или электронную почту для доставки бэкдора Mandiant, Plankwalk или других семейств вредоносных программ.

Plankwalk или другие используемые вредоносные программы в основном распространяются с помощью макросов, встроенных в документы Microsoft Word. Когда документы открыты и разрешено запускать макросы, целевой компьютер загружает и выполняет вредоносную полезную нагрузку с сервера командования и управления. Один из использованных документов выглядел следующим образом:


Серверы командования и контроля злоумышленников - это в первую очередь скомпрометированные сайты WordPress, что является еще одним методом, известным UNC2970. Процесс заражения включает отправку цели архивного файла, который, помимо прочего, содержит вредоносную версию приложения удаленного рабочего стола TightVNC. В своем посте исследователи Mandiant далее описали этот процесс:

Атака продолжается установкой бэкдора Plankwalk, который затем может устанавливать широкий спектр дополнительных инструментов, включая приложение Microsoft endpoint InTune. InTune можно использовать для доставки конфигураций конечным точкам, зарегистрированным в службе Azure Active Directory организации. UNC2970, по-видимому, использует легальное приложение для обхода защиты конечных точек.

”Выявленные вредоносные инструменты свидетельствуют о продолжающейся разработке вредоносных программ и внедрении новых инструментов UNC2970”, - пишут исследователи Mandiant. “Хотя группа ранее нацеливалась на оборонную промышленность, средства массовой информации и технологические отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение ее операций”.

В то время как нацеливание на исследователей в области безопасности может быть новым для UNC2970, другие северокорейские хакерские группировки участвуют в этой деятельности по крайней мере с 2021 года.

Объекты атак могут снизить вероятность заражения в этих кампаниях, используя:

• Многофакторную аутентификация
• Учетные записи только для облака для доступа к Azure Active Directory
• Отдельные учетные записи для отправки электронной почты, просмотра веб-страниц и аналогичных действий, а также выделенную учетную запись администратора для выполнения важных административных функций.

Организациям также следует рассмотреть другие средства защиты, включая блокировку макросов и использование управления привилегированными удостоверениями, политик условного доступа и ограничений безопасности в Azure AD. Также рекомендуется требовать, чтобы транзакции InTune утверждались несколькими администраторами. Полный список мер по смягчению последствий приведен в вышеупомянутом сообщении Mandiant.

Источник: https://arstechnica.com/information...in-in-the-crosshairs-of-north-korean-hackers/