Um grupo de hackers suspeito de ser norte-coreano está direcionando pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam ao lançamento de três novas famílias de malwares personalizados.
Os atacantes usam engenharia social para convencer suas vítimas a se comunicar pelo WhatsApp, onde eles deixam o payload de malware "PlankWalk", um backdoor C++ que os ajuda a estabelecer um ponto de apoio no ambiente corporativo da vítima.
De acordo com a Mandiant, que vem rastreando a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à "Operação Emprego dos Sonhos", atribuída ao cluster norte-coreano conhecido como o grupo "Lazarus".
No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que rastreiam como "UNC2970".
Além disso, os atacantes usam malwares nunca antes vistos chamados 'TOUCHMOVE', 'SIDESHOW' e 'TOUCHSHIFT', que não foram atribuídos a nenhum grupo de ameaças conhecido.
A Mandiant afirma que o grupo em particular já havia visado empresas de tecnologia, grupos de mídia e entidades da indústria de defesa.
Sua última campanha mostra que o grupo evoluiu seu escopo de direcionamento e adaptou suas capacidades.
Os hackers começam seu ataque abordando alvos no LinkedIn, se passando por recrutadores de emprego.
No final, eles mudam para o WhatsApp para continuar o processo de "recrutamento", compartilhando um documento do Word incorporado com macros maliciosas.
A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de cargos que estão promovendo para as vítimas.
Durante a fase de pós-exploração, os hackers norte-coreanos usam um novo malware customizado chamado "TouchShift", que se disfarça como um binário do Windows legítimo (mscoree.dll ou netplwix.dll).
O mais interessante do grupo é o novo backdoor personalizado SideShow, que suporta um total de 49 comandos.
Esses comandos permitem que um atacante execute código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute payloads adicionais.
Em alguns casos, onde as organizações alvo não usavam VPN, os atores de ameaças foram observados abusando do Microsoft Intune para implantar o malware "CloudBurst" usando scripts PowerShell.
Essa ferramenta também se disfarça como um arquivo do Windows legítimo, mais especificamente, "mscoree.dll", e seu papel é realizar a enumeração do sistema.
Um segundo relatório publicado pela Mandiant hoje se concentra na tática "traga seu próprio driver vulnerável" (BYOVD) seguida pelo UNC2970 na última campanha.
Ao examinar os logs em sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho ("_SB_SMBUS_SDK.dll").
Após investigação adicional, os pesquisadores descobriram que esses arquivos haviam sido criados por outro arquivo chamado "Share.DAT", um dropper em memória rastreado como "LightShift".
O dropper carrega um payload ofuscado chamado "LightShow", que utiliza o driver vulnerável para realizar operações de leitura e gravação arbitrárias na memória do kernel.
O papel do payload é corrigir rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response), ajudando os invasores a evitar a detecção.
Em particular, o driver usado nesta campanha era um driver ASUS ("Driver7.sys") que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha zero-day.
A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador
CVE-2022-42455
e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...