Pesquisadores de segurança foram alvo de novo malware por meio de ofertas de emprego no LinkedIn
13 de Março de 2023

Um grupo de hackers suspeito de ser norte-coreano está direcionando pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam ao lançamento de três novas famílias de malwares personalizados.

Os atacantes usam engenharia social para convencer suas vítimas a se comunicar pelo WhatsApp, onde eles deixam o payload de malware "PlankWalk", um backdoor C++ que os ajuda a estabelecer um ponto de apoio no ambiente corporativo da vítima.

De acordo com a Mandiant, que vem rastreando a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à "Operação Emprego dos Sonhos", atribuída ao cluster norte-coreano conhecido como o grupo "Lazarus".

No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que rastreiam como "UNC2970".

Além disso, os atacantes usam malwares nunca antes vistos chamados 'TOUCHMOVE', 'SIDESHOW' e 'TOUCHSHIFT', que não foram atribuídos a nenhum grupo de ameaças conhecido.

A Mandiant afirma que o grupo em particular já havia visado empresas de tecnologia, grupos de mídia e entidades da indústria de defesa.

Sua última campanha mostra que o grupo evoluiu seu escopo de direcionamento e adaptou suas capacidades.

Os hackers começam seu ataque abordando alvos no LinkedIn, se passando por recrutadores de emprego.

No final, eles mudam para o WhatsApp para continuar o processo de "recrutamento", compartilhando um documento do Word incorporado com macros maliciosas.

A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de cargos que estão promovendo para as vítimas.

Durante a fase de pós-exploração, os hackers norte-coreanos usam um novo malware customizado chamado "TouchShift", que se disfarça como um binário do Windows legítimo (mscoree.dll ou netplwix.dll).

O mais interessante do grupo é o novo backdoor personalizado SideShow, que suporta um total de 49 comandos.

Esses comandos permitem que um atacante execute código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute payloads adicionais.

Em alguns casos, onde as organizações alvo não usavam VPN, os atores de ameaças foram observados abusando do Microsoft Intune para implantar o malware "CloudBurst" usando scripts PowerShell.

Essa ferramenta também se disfarça como um arquivo do Windows legítimo, mais especificamente, "mscoree.dll", e seu papel é realizar a enumeração do sistema.

Um segundo relatório publicado pela Mandiant hoje se concentra na tática "traga seu próprio driver vulnerável" (BYOVD) seguida pelo UNC2970 na última campanha.

Ao examinar os logs em sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho ("_SB_SMBUS_SDK.dll").

Após investigação adicional, os pesquisadores descobriram que esses arquivos haviam sido criados por outro arquivo chamado "Share.DAT", um dropper em memória rastreado como "LightShift".

O dropper carrega um payload ofuscado chamado "LightShow", que utiliza o driver vulnerável para realizar operações de leitura e gravação arbitrárias na memória do kernel.

O papel do payload é corrigir rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response), ajudando os invasores a evitar a detecção.

Em particular, o driver usado nesta campanha era um driver ASUS ("Driver7.sys") que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha zero-day.

A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador CVE-2022-42455 e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...