Profissionais de TI são alvo de novo malware por meio de ofertas de emprego no LinkedIn
1 0
Read Time:4 Minute, 45 Second

Um suposto grupo de hackers norte-coreanos tem como alvo pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam à implantação de três novas famílias de malware.

Os invasores usam a engenharia social para convencer seus alvos a se engajar no WhatsApp, onde lançam a carga de malware “PlankWalk”, um backdoor feito em C++ que os ajuda a estabelecer o controle de uma estação no ambiente corporativo do alvo.

De acordo com a Mandiant, que acompanha a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à “Operação Dream Job”, atribuída ao cluster norte-coreano conhecido como “grupo Lazarus”.

No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que eles rastreiam como “UNC2970”.

Além disso, os invasores usam malwares inéditos chamados ‘TOUCHMOVE‘, ‘SIDESHOW‘ e ‘TOUCHSHIFT‘, que não foram atribuídos a nenhum grupo de ameaças conhecido.

A Mandiant diz que o grupo em particular já tinha como alvo empresas de tecnologia, grupos de mídia e entidades da indústria de defesa. Sua campanha mais recente mostra que evoluiu seu escopo de segmentação e adaptou seus recursos.

Phishing e engenharia social como vetor de infecção

Os hackers iniciam seu ataque abordando alvos pelo LinkedIn, se passando por recrutadores de empregos. Por fim, eles mudaram para o WhatsApp para continuar o processo de “recrutamento”, compartilhando um documento do Word incorporado com macros maliciosas.

Imagem do documento enviado do word contendo código malicioso

A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de trabalho que estão promovendo para os alvos. Por exemplo, uma das iscas compartilhadas por Mandiant se faz passar pelo New York Times, conforme mostrado abaixo.

As macros do documento do Word executam um codigo que baixa uma versão trojanizada do TightVNC de sites WordPress comprometidos que servem como servidores de comando e controle do invasor.

A Mandiant rastreia esta versão personalizada do TightVNC como “LidShift”. Após a execução, ele usa injeção de DLL para carregar uma DLL criptografada (plugin do Notepad ++ trojanizado) na memória do sistema.

O arquivo carregado é um downloader de malware chamado “LidShot”, que executa a enumeração do sistema e instala o ultimo modulo do malware,chamado “PlankWalk”.

Disfarçando como arquivos do Windows

Durante a fase pós-exploração, os hackers norte-coreanos usam um novo dropper de malware personalizado chamado “TouchShift”, que se disfarça como um binário legítimo do Windows (mscoree.dll ou netplwix.dll).

O TouchShift então carrega outro utilitário de captura de tela chamado “TouchShot”, um keylogger chamado “TouchKey”, um tunneller  chamado “HookShot”, um novo carregador chamado “TouchMove” e um novo backdoor chamado “SideShow”. novo backdoor personalizado SideShow, que suporta um total de 49 comandos. Esses comandos permitem que um invasor a execução de código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute cargas adicionais.

Em alguns casos em que as organizações visadas não usavam uma VPN, os agentes de ameaças foram observados abusando do Microsoft Intune para implantar o malware “CloudBurst” usando scripts do PowerShell.

Essa ferramenta também se disfarça como um arquivo legítimo do Windows, mais especificamente, “mscoree.dll”, e sua função é realizar a enumeração do sistema.

Desativando ferramentas EDR via zero-day

Um segundo relatório publicado pela Mandiant hoje enfoca a tática “bring your own vulnerable driver” (BYOVD), seguida pela UNC2970 na última campanha.

Ao examinar os logs dos sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho (“_SB_SMBUS_SDK.dll”).

Após uma investigação mais aprofundada, os pesquisadores descobriram que esses arquivos foram criados por outro arquivo chamado “Share.DAT”, um conta-gotas na memória rastreado como “LightShift”.

O dropper carrega um modulo ofuscado chamado “LightShow”, que utiliza o driver vulnerável para executar operações arbitrárias de leitura e gravação na memória do kernel.

O código malicioso então aplica hooks em rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response) para evitar sua detecção.

Notavelmente, o driver usado nesta campanha era um driver ASUS (“Driver7.sys”) que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha de 0day.

A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador CVE-2022-42455 e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.

Os hackers norte-coreanos anteriormente visavam pesquisadores de segurança envolvidos no desenvolvimento de vulnerabilidades e exploits, criando personas falsas de mídia social on-line que fingiam ser pesquisadores de vulnerabilidades.

Essas personas entrariam em contato com outros pesquisadores de segurança sobre uma possível colaboração na pesquisa de vulnerabilidades.

Depois de estabelecer contato com um pesquisador, os hackers enviaram projetos maliciosos do Visual Studio e arquivos MHTML que exploravam um Internet Explorer 0day.

Ambas as iscas foram usadas para implantar malware nos dispositivos dos pesquisadores visados para obter acesso remoto aos computadores.

IOC’s

IOCSignature
e97b13b7e91edeceeac876c3869cc4ebPLANKWALK
a9e30c16df400c3f24fc4e9d76db78efPLANKWALK
f910ffb063abe31e87982bad68fd0d87PLANKWALK
30358639af2ecc217bbc26008c5640a7LIDSHIFT
41dcd8db4371574453561251701107bcLIDSHOT
866f9f205fa1d47af27173b5eb464363TOUCHSHIFT
8c597659ede15d97914cb27512a55fc7TOUCHSHIFT
a2109276dc704dedf481a4f6c8914c6eTOUCHSHIFT
3bf748baecfc24def6c0393bc2354771TOUCHSHOT
91b6d6efa5840d6c1f10a72c66e925ceTOUCHKEY
300103aff7ab676a41e47ec3d615ba3fHOOKSHOT
49425d6dedb5f88bddc053cc8fd5f0f4TOUCHMOVE
abd91676a814f4b50ec357ca1584567eSIDESHOW
05b6f459be513bf6120e9b2b85f6c844CLOUDBURST
hxxp://webinternal.anyplex[.]com/images/query_image.jspPLANKWALK C2
hxxp://www.fainstec[.]com/assets/js/jquery/jquery.phpPLANKWALK C2
hxxps://ajayjangid[.]in/js/jquery/jquery.phpPLANKWALK C2
hxxps://sede.lamarinadevalencia[.]com/tablonEdictal/layout/contentLayout.jspPLANKWALK C2
hxxps://leadsblue[.]com/%77%70%2d%63%6f%6e%74%65%6e%74/wp-utility/index.phpLIDSHOT C2
hxxps://toptradenews[.]com/%77%70%2d%63%6f%6e%74%65%6e%74/themes/themes.phpSIDESHOW C2
hxxp://mantis.quick.net[.]pl/library/securimage/index.phpSIDESHOW C2
hxxp://www.keewoom.co[.]kr/prod_img/201409/prod.phpSIDESHOW C2
hxxp://abba-servicios[.]mx/wordpress/%77%70%2d%63%6f%6e%74%65%6e%74/themes/config.phpSIDESHOW C2
hxxp://www.ruscheltelefonia[.]com.br/public/php/index.phpSIDESHOW C2
hxxps://olidhealth[.]com/%77%70%2d%69%6e%63%6c%75%64%65%73/php-compat/compat.phpCLOUDBURST C2
hxxps://doug[.]org/%77%70%2d%69%6e%63%6c%75%64%65%73/admin.phpCLOUDBURST C2
hxxps://crickethighlights[.]today/%77%70%2d%63%6f%6e%74%65%6e%74/plugins/contact.phpCLOUDBURST C2
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

One thought on “Profissionais de TI são alvo de novo malware por meio de ofertas de emprego no LinkedIn

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.