Um grupo de hackers suspeito de ser norte-coreano está direcionando pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam ao lançamento de três novas famílias de malwares personalizados.
Os atacantes usam engenharia social para convencer suas vítimas a se comunicar pelo WhatsApp, onde eles deixam o payload de malware "PlankWalk", um backdoor C++ que os ajuda a estabelecer um ponto de apoio no ambiente corporativo da vítima.
De acordo com a Mandiant, que vem rastreando a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à "Operação Emprego dos Sonhos", atribuída ao cluster norte-coreano conhecido como o grupo "Lazarus".
No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que rastreiam como "UNC2970".
Além disso, os atacantes usam malwares nunca antes vistos chamados 'TOUCHMOVE', 'SIDESHOW' e 'TOUCHSHIFT', que não foram atribuídos a nenhum grupo de ameaças conhecido.
A Mandiant afirma que o grupo em particular já havia visado empresas de tecnologia, grupos de mídia e entidades da indústria de defesa.
Sua última campanha mostra que o grupo evoluiu seu escopo de direcionamento e adaptou suas capacidades.
Os hackers começam seu ataque abordando alvos no LinkedIn, se passando por recrutadores de emprego.
No final, eles mudam para o WhatsApp para continuar o processo de "recrutamento", compartilhando um documento do Word incorporado com macros maliciosas.
A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de cargos que estão promovendo para as vítimas.
Durante a fase de pós-exploração, os hackers norte-coreanos usam um novo malware customizado chamado "TouchShift", que se disfarça como um binário do Windows legítimo (mscoree.dll ou netplwix.dll).
O mais interessante do grupo é o novo backdoor personalizado SideShow, que suporta um total de 49 comandos.
Esses comandos permitem que um atacante execute código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute payloads adicionais.
Em alguns casos, onde as organizações alvo não usavam VPN, os atores de ameaças foram observados abusando do Microsoft Intune para implantar o malware "CloudBurst" usando scripts PowerShell.
Essa ferramenta também se disfarça como um arquivo do Windows legítimo, mais especificamente, "mscoree.dll", e seu papel é realizar a enumeração do sistema.
Um segundo relatório publicado pela Mandiant hoje se concentra na tática "traga seu próprio driver vulnerável" (BYOVD) seguida pelo UNC2970 na última campanha.
Ao examinar os logs em sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho ("_SB_SMBUS_SDK.dll").
Após investigação adicional, os pesquisadores descobriram que esses arquivos haviam sido criados por outro arquivo chamado "Share.DAT", um dropper em memória rastreado como "LightShift".
O dropper carrega um payload ofuscado chamado "LightShow", que utiliza o driver vulnerável para realizar operações de leitura e gravação arbitrárias na memória do kernel.
O papel do payload é corrigir rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response), ajudando os invasores a evitar a detecção.
Em particular, o driver usado nesta campanha era um driver ASUS ("Driver7.sys") que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha zero-day.
A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador
CVE-2022-42455
e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...