Hackers miram Indústrias de Energia e Aeroespacial
18 de Setembro de 2024

Um grupo de ciberespionagem vinculado à Coreia do Norte foi observado aproveitando iscas de phishing temáticas de emprego para mirar em potenciais vítimas nos setores de energia e aeroespacial, infectando-os com uma backdoor anteriormente não documentada, denominada MISTPEN.

Esse agrupamento de atividades está sendo rastreado pela Mandiant, da Google, sob o codinome UNC2970, que se disse sobrepor com um grupo de ameaças conhecido como TEMP.Hermit, que também é amplamente identificado como Lazarus Group ou Diamond Sleet (anteriormente Zinc).

O ator de ameaça possui um histórico de mirar em instituições governamentais, de defesa, telecomunicações e financeiras ao redor do mundo desde pelo menos 2013 para coletar inteligência estratégica que favorece os interesses norte-coreanos.

Está afiliado ao Reconnaissance General Bureau (RGB).

A empresa de inteligência de ameaças declarou que observou o UNC2970 visando diversas entidades localizadas nos EUA, Reino Unido, Países Baixos, Chipre, Suécia, Alemanha, Singapura, Hong Kong e Austrália.

"O UNC2970 mira vítimas sob a aparência de ofertas de emprego, se passando por um recrutador de empresas proeminentes", disse em uma nova análise, acrescentando que copia e modifica as descrições de empregos de acordo com os perfis alvo.

"Ademais, as descrições de emprego escolhidas miram funcionários de nível sênior/gerencial.
Isso sugere que o ator de ameaça visa obter acesso a informações sensíveis e confidenciais que são tipicamente restritas a funcionários de alto nível."

As cadeias de ataque, também conhecidas como Operação Dream Job, envolvem o uso de iscas de spear-phishing para interagir com as vítimas por e-mail e WhatsApp numa tentativa de construir confiança, antes de enviar um arquivo ZIP malicioso disfarçado como uma descrição de emprego.

Em um desdobramento interessante, o arquivo PDF da descrição só pode ser aberto com uma versão trojanizada de um aplicativo leitor de PDF legítimo chamado Sumatra PDF incluído no arquivo para entregar o MISTPEN por meio de um lançador referido como BURNBOOK.

Vale ressaltar que isso não implica um ataque à cadeia de suprimentos nem há uma vulnerabilidade no software.

Em vez disso, descobriu-se que o ataque emprega uma versão mais antiga do Sumatra PDF que foi reutilizada para ativar a cadeia de infecção.

Este é um método testado e aprovado adotado pelo grupo de hackers desde 2022, com a Mandiant e a Microsoft destacando o uso de uma ampla gama de softwares open-source, incluindo PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e o instalador de software muPDF/Subliminal Recording para esses ataques.

Acredita-se que os atores de ameaças provavelmente instruem as vítimas a abrir o arquivo PDF usando o programa visualizador de PDF armado incluso para acionar a execução de um arquivo DLL malicioso, um lançador C/C++ chamado BURNBOOK.

"Esse arquivo é um dropper para uma DLL embutida, 'wtsapi32.dll', que é rastreada como TEARPAGE e usada para executar a backdoor MISTPEN após o sistema ser reiniciado", disseram os pesquisadores da Mandiant.

MISTPEN é uma versão trojanizada de um plugin legítimo do Notepad++, binhex.dll, que contém uma backdoor.

TEARPAGE, um carregador embutido dentro do BURNBOOK, é responsável por descriptografar e lançar o MISTPEN.

Um implante leve escrito em C, o MISTPEN está equipado para baixar e executar arquivos Executáveis Portáteis (PE) recuperados de um servidor de comando e controle (C2).

Ele se comunica via HTTP com os seguintes URLs da Microsoft Graph.
A Mandiant também disse que descobriu artefatos mais antigos do BURNBOOK e MISTPEN, sugerindo que eles estão sendo melhorados iterativamente para adicionar mais capacidades e permitir que passem despercebidos.

As amostras iniciais do MISTPEN também têm usado sites WordPress comprometidos como domínios C2.

"O ator de ameaça aprimorou seu malware ao longo do tempo implementando novos recursos e adicionando uma verificação de conectividade de rede para impedir a análise das amostras", afirmaram os pesquisadores.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...