В последнем отчёте компании Mandiant было выявлено, что северокорейская шпионская группа, отслеживаемая под идентификатором UNC2970, с июня 2022 года использует ранее незадокументированные семейства вредоносных программ в рамках целевой фишинговой кампании, нацеленной на СМИ и технологические организации в Америке и Европе.
Mandiant заявила, что кластер угроз “многократно пересекается” с длительной операцией, получившей название “Dream Job” (“Работа мечты”). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.
Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть LinkedIn. Выбранный метод социальной инженерии подразумевает использование “хорошо разработанных и профессионально курируемых” поддельных учётных записей, с помощью которых злоумышленники выдают себя за рекрутеров. Далее разговор переключается в WhatsApp, после чего жертве под видом должностной инструкции доставляется фишинговая ” data-html=”true” data-original-title=”Полезная нагрузка” >полезная нагрузка.
Создание плацдарма в скомпрометированных средах достигается с помощью бэкдора на основе C++, известного как PLANKWALK, который затем прокладывает путь для распространения дополнительных инструментов, таких как:
- TOUCHHIFT – дроппер вредоносных программ, загружающий как кейлоггеры и утилиты для создания скриншотов, так и полнофункциональные бэкдоры.
- TOUCHSHOT – программа, которая делает снимок экрана каждые три секунды.
- TOUCHKEY – кейлоггер, фиксирующий нажатия клавиш и данные из буфера обмена.
- HOOKSHOT – инструмент туннелирования, который подключается через TCP для связи с C2-сервером.
- TOUCHMOVE – загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине.
- SIDESHOW – бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим C2-сервером.
Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.
“Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970”, – заявили специалисты Mandiant.