Napad na sigurnosne istraživače lažnim LinkedIn poslovnim ponudama

AUTOR ·

Primijećen je napad na sigurnosne istraživače lažnim LinkedIn poslovnim ponudama korištenjem zlonamjernog softvera, a sumnja se da se radi o  hakerskoj grupi iz Sjeverne Koreje.

Napad na sigurnosne istrazivace

Napad na sigurnosne istraživače lažnim LinkedIn poslovnim ponudama; Dizajn: Saša Đurić

Napad na sigurnosne istraživače

Hakerska grupa za koju se sumnja da potiče iz Sjeverne Koreje, vrši napade na sigurnosne istraživače i medijske organizacije u SAD i Evropi koristeći lažne ponude za posao na LinkedIn-u, koje dovode do implementacije tri nove, prilagođene porodice zlonamjernog softvera: Touchmove, Sideshow i Touchshift.

Prema informacijama sigurnosne kompanije Mandiant, ova kampanja je aktiva od juna 2022. godine i ima preklapanja sa kampanjom “Operation Dream Job” koja je pripisana Sjeverno Korejskoj APT grupi Lazarus. Ipak, uočeno je dovoljno razlika u korištenju infrastrukture, taktika, tehnika i procedura, da bi se kampanja mogla pripisati novoj APT grupi UNC2970.

Istraživanje je pokazalo da je ova grupa ranije napadala tehnološke firme, medijske grupe i razne organizacije u odbrambenoj industriji. Nova kampanja pokazuje evoluciju i prilagođavanje svojim mogućnostima.

 

Pecanjem do uporišta

Zlonamjerni akteri započinju napad ciljanim pecanjem (eng. spear phishing) na društvenoj mreži LinkedIn, gdje svojim metama daju lažnu ponudu za posao i pokušavaju da prebace kanal komunikacije na aplikaciju za razmjenu poruka WhatsApp. Kada komunikacija krene preko aplikacije WhatsApp, napadač svojoj meti šalje Word dokument u kojem se nalazi zlonamjerni softver.

Otvaranjem Word dokumenta, dolazi do pokretanja macro skripte koja preuzima trojanizovanu verziju TightVNC aplikacije za daljinski pristup sa već kompromitovane WordPress Internet stranice koja napadaču služi kao komandno-kontrolni server.

Pokretanjem ove posebno pripremljene TightVNC aplikacije za daljinski pristup, dolazi do učitavanja šifrovane DLL datoteke u sistemsku memoriju, koja je ustvari zlonamjerni softver LidShot čiji je krajnji cilj uspostavljanje uporišta na uređaju preuzimanjem aktivnog dijela zlonamjernog softvera pod nazivom PlankWalk.

UNC2970 lure document

UNC2970 lure document sent to targets; Source: Mandiant

Boravak u sistemu

Nakon postizanja uporišta na inficiranom uređaju, napadači koriste zlonamjerni softver TouchShift, koji se predstavlja kao legitimna Windows datoteka. On tada pokreće  implementacije alata za snimanje ekrana TouchShot, keyloger-a TouchKey, alata za komunikaciju HookShot, novog modula za učitavanje TouchMove i novog backdoor-a SideShow.

Ovdje se posebno izdvaja backdoor SideShow koji ima mogućnost izvršavanja ukupno 49 komandi, od izvršavanja proizvoljnog kôda, izmjena registry baze sistema, manipulacije podešavanjima firewall-a, zakazivanja pokretanja novih zadataka do preuzimanja novih zlonamjernih softvera.

 

Onemogućavanje EDR softvera

Detaljnija analiza je primijetila novu taktiku koju koristi UNC2970 u ovoj kampanji. Sigurnosni istraživači su primijetili sumnjivi upravljački softver (eng. driver) i čudnu DLL datoteku.

Istraživanje je pokazalo da se to odnosi na ubacivač u memoriju pod nazivom LightShift čiji je zadatak da zamagli učitavanje aktivnog dijela zlonamjernog softvera pod imenom LightShow, koji zloupotrebljava ranjivost upravljačkog softvera da bi mogao izvršavati čitanje i pisanje proizvoljnog kôda u memoriji jezgra sistema (eng. kernel memory). Svrha čitavog ovog procesa je mijenjanje rutina koje koristi Endpoint Detection and Response – EDR softver koji štiti uređaje, kako bi se izbjeglo otkrivanje napadača.

 

Zaštita

Korisni mogu smanjiti šanse infekcije svojih uređaja korištenjem sljedećih preporuka:

  • Korištene autentifikacije u više koraka (eng. Multi-factor authentication – MFA);
  • Isključivo korisnički nalozi u oblaku za pristup Azure Active Directory;
  • Posebni nalozi za slanje elektronske pošte, pretraživanje Internata i slične aktivnosti, odvojeni od namjenskih administratorskih naloga za pristup osjetljivim resursima;
  • Primijeniti blokiranje macro skripti;
  • Korištenje privilegovanog upravljanja identitetom;
  • Korištenje politike uslovnog pristupa;
  • Primjena sigurnosnih ograničenja u Azure AD;

 

Potpunu listu preporuka možete naći ovdje (prvi dio) i ovdje (drugi dio).

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.