.
Getty Images
Atores de ameaças ligados ao governo norte-coreano têm como alvo pesquisadores de segurança em uma campanha de hacking que usa novas técnicas e malware na esperança de ganhar uma posição dentro das empresas para as quais os alvos trabalham, disseram os pesquisadores.
Pesquisadores da empresa de segurança Mandiant disseram na quinta-feira que detectaram a campanha pela primeira vez em junho passado, enquanto rastreavam uma campanha de phishing direcionada a um cliente americano do setor de tecnologia. Os hackers desta campanha tentaram infectar alvos com três novas famílias de malware, apelidadas pela Mandiant de Touchmove, Sideshow e Touchshift. Os hackers desses ataques também demonstraram novos recursos para combater as ferramentas de detecção de endpoint enquanto operam dentro dos ambientes de nuvem dos alvos.
“A Mandiant suspeita que o UNC2970 visou especificamente os pesquisadores de segurança nesta operação”, escreveram os pesquisadores da Mandiant.
Pouco depois de descobrir a campanha, a Mandiant respondeu a várias invasões em organizações de mídia dos EUA e da Europa por UNC2970, o nome que a Mandiant dá ao agente da ameaça norte-coreana. UNC2970 usou spearphishing com um tema de recrutamento de trabalho em uma tentativa de atrair os alvos e induzi-los a instalar o novo malware.
Tradicionalmente, o UNC2970 tem como alvo organizações com e-mails de spearphishing com temas de recrutamento de empregos. Mais recentemente, o grupo passou a usar contas falsas do LinkedIn que pertencem a supostos recrutadores. As contas são cuidadosamente elaboradas para imitar as identidades de pessoas legítimas para enganar os alvos e aumentar suas chances de sucesso. Eventualmente, o agente da ameaça tenta mudar as conversas para o WhatsApp e, a partir daí, usar o WhatsApp ou e-mail para enviar um backdoor Mandiant chama Plankwalk ou outras famílias de malware.
O Plankwalk ou outro malware usado é fornecido principalmente por meio de macros incorporadas em documentos do Microsoft Word. Quando os documentos são abertos e as macros podem ser executadas, a máquina do alvo baixa e executa uma carga maliciosa de um servidor de comando e controle. Um dos documentos utilizados ficou assim:
mandante
Os servidores de comando e controle dos invasores são principalmente sites WordPress comprometidos, outra técnica pela qual o UNC2970 é conhecido. O processo de infecção envolve enviar ao alvo um arquivo compactado que, entre outras coisas, inclui uma versão maliciosa do aplicativo de área de trabalho remota TightVNC. No post, os pesquisadores da Mandiant descreveram ainda mais o processo:
O arquivo ZIP entregue pela UNC2970 continha o que a vítima pensava ser um teste de avaliação de habilidades para um pedido de emprego. Na realidade, o ZIP continha um arquivo ISO, que incluía uma versão trojanizada do TightVNC que a Mandiant rastreia como LIDSHIFT. A vítima foi instruída a executar o aplicativo TightVNC que, junto com os outros arquivos, é nomeado apropriadamente para a empresa para a qual a vítima planejava fazer a avaliação.
Além de funcionar como um visualizador TightVNC legítimo, o LIDSHIFT continha vários recursos ocultos. A primeira era que, após a execução pelo usuário, o malware enviaria um sinalizador de volta ao seu C2 codificado; a única interação necessária do usuário era o lançamento do programa. Essa falta de interação difere do que o MSTIC observou em sua recente postagem no blog. O beacon C2 inicial do LIDSHIFT contém o nome de usuário inicial e o nome do host da vítima.
A segunda capacidade do LIDSHIFT é injetar reflexivamente uma DLL criptografada na memória. A DLL injetada é um plug-in Notepad ++ trojanizado que funciona como um downloader, que o Mandiant rastreia como LIDSHOT. O LIDSHOT é injetado assim que a vítima abre o menu suspenso dentro do aplicativo TightVNC Viewer. O LIDSHOT tem duas funções principais: enumeração do sistema e download e execução do shellcode do C2.
O ataque continua para instalar o backdoor Plankwalk, que pode instalar uma ampla gama de ferramentas adicionais, incluindo o aplicativo de endpoint da Microsoft InTune. O InTune pode ser usado para fornecer configurações a pontos de extremidade registrados no serviço Azure Active Directory de uma organização. UNC2970 parece estar usando o aplicativo legítimo para ignorar as proteções de endpoint.
“As ferramentas de malware identificadas destacam o desenvolvimento contínuo de malware e a implantação de novas ferramentas pela UNC2970”, escreveram os pesquisadores da Mandiant. “Embora o grupo tenha visado anteriormente as indústrias de defesa, mídia e tecnologia, o direcionamento de pesquisadores de segurança sugere uma mudança na estratégia ou uma expansão de suas operações”.
Embora o direcionamento de pesquisadores de segurança possa ser novo para o UNC2970, outros agentes de ameaças norte-coreanos estão envolvidos na atividade desde pelo menos 2021.
Os alvos podem diminuir as chances de serem infectados nessas campanhas usando:
- Autenticação multifator
- Contas somente na nuvem para acessar o Azure Active Directory
- Uma conta separada para envio de e-mail, navegação na Web e atividades semelhantes e uma conta de administrador dedicada para funções administrativas confidenciais.
As organizações também devem considerar outras proteções, incluindo o bloqueio de macros e o uso de gerenciamento de identidades privilegiadas, políticas de acesso condicional e restrições de segurança no Azure AD. Exigir que vários administradores aprovem as transações do InTune também é recomendado. A lista completa de mitigações está incluída na postagem Mandiant vinculada acima.
.
