{"id":4464,"date":"2023-03-12T18:09:59","date_gmt":"2023-03-12T17:09:59","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4464"},"modified":"2023-03-12T18:09:59","modified_gmt":"2023-03-12T17:09:59","slug":"napad-na-sigurnosne-istrazivace-laznim-linkedin-poslovnim-ponudama","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/03\/12\/napad-na-sigurnosne-istrazivace-laznim-linkedin-poslovnim-ponudama\/","title":{"rendered":"Napad na sigurnosne istra\u017eiva\u010de la\u017enim LinkedIn poslovnim ponudama"},"content":{"rendered":"

Primije\u0107en je napad na sigurnosne istra\u017eiva\u010de la\u017enim LinkedIn poslovnim ponudama kori\u0161tenjem zlonamjernog softvera, a sumnja se da se radi o\u00a0 hakerskoj grupi iz Sjeverne Koreje.<\/span><\/p>\n

\"Napad

Napad na sigurnosne istra\u017eiva\u010de la\u017enim LinkedIn poslovnim ponudama; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Napad na sigurnosne istra\u017eiva\u010de<\/strong><\/span><\/h2>\n

Hakerska grupa za koju se sumnja da poti\u010de iz Sjeverne Koreje, vr\u0161i napade na sigurnosne istra\u017eiva\u010de i medijske organizacije u SAD i Evropi koriste\u0107i la\u017ene ponude za posao na LinkedIn<\/em>-u, koje dovode do implementacije tri nove, prilago\u0111ene porodice zlonamjernog softvera: Touchmove<\/em>, Sideshow<\/em> i Touchshift<\/em>.<\/span><\/p>\n

Prema informacijama sigurnosne kompanije Mandiant<\/a>, ova kampanja je aktiva od juna 2022. godine i ima preklapanja sa kampanjom \u201cOperation Dream Job<\/em><\/a>\u201d koja je pripisana Sjeverno Korejskoj APT<\/em><\/a> grupi Lazarus<\/em>. Ipak, uo\u010deno je dovoljno razlika u kori\u0161tenju infrastrukture, taktika, tehnika i procedura, da bi se kampanja mogla pripisati novoj APT<\/em> grupi UNC2970<\/em>.<\/span><\/p>\n

Istra\u017eivanje je pokazalo da je ova grupa ranije napadala tehnolo\u0161ke firme, medijske grupe i razne organizacije u odbrambenoj industriji. Nova kampanja pokazuje evoluciju i prilago\u0111avanje svojim mogu\u0107nostima.<\/span><\/p>\n

 <\/p>\n

Pecanjem do upori\u0161ta<\/strong><\/span><\/h3>\n

Zlonamjerni akteri zapo\u010dinju napad ciljanim pecanjem (eng. spear phishing<\/em>)<\/a> na dru\u0161tvenoj mre\u017ei LinkedIn<\/em>, gdje svojim metama daju la\u017enu ponudu za posao i poku\u0161avaju da prebace kanal komunikacije na aplikaciju za razmjenu poruka WhatsApp<\/em>. Kada komunikacija krene preko aplikacije WhatsApp<\/em>, napada\u010d svojoj meti \u0161alje Word<\/em> dokument u kojem se nalazi zlonamjerni softver.<\/span><\/p>\n

Otvaranjem Word<\/em> dokumenta, dolazi do pokretanja macro<\/em> skripte koja preuzima trojanizovanu verziju TightVNC<\/em> aplikacije za daljinski pristup sa ve\u0107 kompromitovane WordPress<\/em> Internet stranice koja napada\u010du slu\u017ei kao komandno-kontrolni server.<\/span><\/p>\n

Pokretanjem ove posebno pripremljene TightVNC<\/em> aplikacije za daljinski pristup, dolazi do u\u010ditavanja \u0161ifrovane DLL<\/em> datoteke u sistemsku memoriju, koja je ustvari zlonamjerni softver LidShot<\/em> \u010diji je krajnji cilj uspostavljanje upori\u0161ta na ure\u0111aju preuzimanjem aktivnog dijela zlonamjernog softvera pod nazivom PlankWalk<\/em>.<\/span><\/p>\n

\"UNC2970

UNC2970 lure document sent to targets; Source: <\/em>Mandiant<\/em><\/a><\/p><\/div>\n

Boravak u sistemu<\/strong><\/span><\/h4>\n

Nakon postizanja upori\u0161ta na inficiranom ure\u0111aju, napada\u010di koriste zlonamjerni softver TouchShift<\/em>, koji se predstavlja kao legitimna Windows datoteka. On tada pokre\u0107e\u00a0 implementacije alata za snimanje ekrana TouchShot<\/em>, keyloger<\/em><\/a>-a TouchKey<\/em>, alata za komunikaciju HookShot<\/em>, novog modula za u\u010ditavanje TouchMove <\/em>i novog backdoor<\/em>-a SideShow<\/em>.<\/span><\/p>\n

Ovdje se posebno izdvaja backdoor<\/em> SideShow<\/em> koji ima mogu\u0107nost izvr\u0161avanja ukupno 49 komandi, od izvr\u0161avanja proizvoljnog k\u00f4da, izmjena registry<\/em> baze sistema, manipulacije pode\u0161avanjima firewall<\/em>-a, zakazivanja pokretanja novih zadataka do preuzimanja novih zlonamjernih softvera.<\/span><\/p>\n

 <\/p>\n

Onemogu\u0107avanje EDR<\/em> softvera<\/strong><\/span><\/p>\n

Detaljnija analiza<\/a> je primijetila novu taktiku koju koristi UNC2970<\/em> u ovoj kampanji. Sigurnosni istra\u017eiva\u010di su primijetili sumnjivi upravlja\u010dki softver (eng. driver<\/em>) i \u010dudnu DLL<\/em> datoteku.<\/span><\/p>\n

Istra\u017eivanje je pokazalo da se to odnosi na ubaciva\u010d u memoriju pod nazivom LightShift<\/em> \u010diji je zadatak da zamagli u\u010ditavanje aktivnog dijela zlonamjernog softvera pod imenom LightShow<\/em>, koji zloupotrebljava ranjivost upravlja\u010dkog softvera da bi mogao izvr\u0161avati \u010ditanje i pisanje proizvoljnog k\u00f4da u memoriji jezgra sistema (eng. kernel memory<\/em>). Svrha \u010ditavog ovog procesa je mijenjanje rutina koje koristi Endpoint Detection and Response \u2013 EDR<\/em> softver koji \u0161titi ure\u0111aje, kako bi se izbjeglo otkrivanje napada\u010da.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Korisni mogu smanjiti \u0161anse infekcije svojih ure\u0111aja kori\u0161tenjem sljede\u0107ih preporuka:<\/span><\/p>\n