Hackers norcoreanos atacan a investigadores de seguridad con una nueva puerta trasera


Los actores de amenazas de Getty Images vinculados al gobierno de Corea del Norte se han dirigido a los investigadores de seguridad en una campaña de piratería que emplea nuevas técnicas y malware con la esperanza de hacerse un hueco en las empresas para las que trabajan las víctimas, dijeron los investigadores. Investigadores de la firma de seguridad Mandiant dijeron el jueves que vieron la campaña por primera vez en junio pasado mientras rastreaban una campaña de phishing dirigida a un cliente estadounidense en la industria tecnológica. Los piratas informáticos de esta campaña intentaron infectar objetivos con tres nuevas familias de malware, denominadas Touchmove, Sideshow y Touchshift por Mandiant. Los piratas informáticos en estos ataques también demostraron nuevas habilidades para vencer las herramientas de detección de puntos finales mientras operan en los entornos de nube de los objetivos. «Mandiant sospecha que UNC2970 apuntó específicamente a los investigadores de seguridad en esta operación», escribieron los investigadores de Mandiant. Poco después de que se descubriera la campaña, Mandiant respondió a múltiples intrusiones en organizaciones de medios estadounidenses y europeas por parte de UNC2970, el nombre de Mandiant para el actor de amenazas de Corea del Norte. UNC2970 utilizó el phishing selectivo con un tema de contratación de trabajo para atraer a los objetivos a instalar el nuevo malware. Tradicionalmente, UNC2970 utiliza correos electrónicos de spearphishing para dirigirse a empresas de búsqueda de empleo. Más recientemente, el grupo ha comenzado a usar cuentas falsas de LinkedIn propiedad de supuestos reclutadores. Las cuentas están cuidadosamente diseñadas para imitar las identidades de personas legítimas con el fin de engañar a los objetivos y aumentar sus posibilidades de éxito. Finalmente, el actor de amenazas intenta descargar las conversaciones a WhatsApp y desde allí usar WhatsApp o el correo electrónico para entregar una puerta trasera que llame a Mandiant Plankwalk u otras familias de malware. Plankwalk o el otro malware utilizado se entregan principalmente a través de macros incrustadas en documentos de Microsoft Word. Si se abren los documentos y se permite que se ejecuten las macros, la computadora del objetivo descarga y ejecuta cargas útiles maliciosas desde un servidor de comando y control. Uno de los documentos utilizados se veía así:
Mandiant Los servidores de comando y control de los atacantes son principalmente sitios de WordPress comprometidos, otra técnica por la que se conoce a UNC2970. El proceso de infección implica el envío de un archivo comprimido al objetivo que contiene, entre otras cosas, una versión maliciosa de la aplicación de escritorio remoto TightVNC. En la publicación, los investigadores de Mandiant describieron con más detalle el proceso: Publicidad

El archivo zip proporcionado por UNC2970 contenía lo que la víctima creía que era una prueba de evaluación de habilidades para una solicitud de empleo. En realidad, el archivo ZIP contenía un archivo ISO que contenía una versión troyana de TightVNC que Mandiant rastrea como LIDSHIFT. Se le indicó a la víctima que ejecutara la aplicación TightVNC, que junto con los otros archivos se nombran de acuerdo con la empresa para la que la víctima había planeado realizar la evaluación. Además de funcionar como un visor TightVNC legítimo, LIDSHIFT contenía varias funciones ocultas. La primera fue que, cuando el usuario lo ejecutaba, el malware enviaba una baliza a su C2 codificado; La única interacción requerida por parte del usuario para esto fue iniciar el programa. Esta falta de interacción difiere de lo que MSTIC observó en su reciente publicación de blog. La baliza C2 inicial de LIDSHIFT contiene el nombre de usuario y el nombre de host iniciales de la víctima. La segunda función de LIDSHIFT es inyectar reflexivamente una DLL cifrada en la memoria. La DLL inyectada es un complemento de Notepad ++ troyanizado que actúa como un descargador que Mandiant rastrea como LIDSHOT. LIDSHOT se inyecta una vez que la víctima abre el menú desplegable en la aplicación TightVNC Viewer. LIDSHOT tiene dos funciones principales: enumeración del sistema y descarga y ejecución de shellcode desde el C2.

El ataque continúa con la puerta trasera de Plankwalk, que luego puede instalar una amplia gama de herramientas adicionales, incluida la aplicación de punto final Intune de Microsoft. Intune se puede usar para implementar configuraciones en puntos finales registrados con el servicio Azure Active Directory de una organización. UNC2970 parece estar usando la aplicación legítima para eludir la protección de punto final. «Las herramientas de malware identificadas subrayan el continuo desarrollo de malware y el despliegue de nuevas herramientas de UNC2970», escribieron los investigadores de Mandiant. «Aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnología, el ataque a los investigadores de seguridad indica un cambio de estrategia o una expansión de sus actividades». involucrados en la actividad desde al menos 2021. Los objetivos pueden reducir la probabilidad de infección en estas campañas mediante el uso de:

  • Autenticación de múltiples factores
  • Cuentas solo en la nube para acceder a Azure Active Directory
  • Una cuenta separada para enviar correos electrónicos, navegar por la web y actividades similares, y una cuenta de administrador dedicada para funciones de administración confidenciales.

Las organizaciones también deben considerar otras medidas de seguridad, incluido el bloqueo de macros y el uso de administración de identidades privilegiadas, políticas de acceso condicional y restricciones de seguridad en Azure AD. También recomendamos que varios administradores aprueben las transacciones de Intune. La lista completa de mitigaciones se incluye en la publicación de Mandiant vinculada anteriormente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.