Profissionais de TI são alvo de novo malware por meio de ofertas de emprego no LinkedIn
1
0
Um suposto grupo de hackers norte-coreanos tem como alvo pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam à implantação de três novas famílias de malware.
Os invasores usam a engenharia social para convencer seus alvos a se engajar no WhatsApp, onde lançam a carga de malware “PlankWalk”, um backdoor feito em C++ que os ajuda a estabelecer o controle de uma estação no ambiente corporativo do alvo.
De acordo com a Mandiant, que acompanha a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à “Operação Dream Job”, atribuída ao cluster norte-coreano conhecido como “grupo Lazarus”.
No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que eles rastreiam como “UNC2970”.
Além disso, os invasores usam malwares inéditos chamados ‘TOUCHMOVE‘, ‘SIDESHOW‘ e ‘TOUCHSHIFT‘, que não foram atribuídos a nenhum grupo de ameaças conhecido.
A Mandiant diz que o grupo em particular já tinha como alvo empresas de tecnologia, grupos de mídia e entidades da indústria de defesa. Sua campanha mais recente mostra que evoluiu seu escopo de segmentação e adaptou seus recursos.
Phishing e engenharia social como vetor de infecção
Os hackers iniciam seu ataque abordando alvos pelo LinkedIn, se passando por recrutadores de empregos. Por fim, eles mudaram para o WhatsApp para continuar o processo de “recrutamento”, compartilhando um documento do Word incorporado com macros maliciosas.
A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de trabalho que estão promovendo para os alvos. Por exemplo, uma das iscas compartilhadas por Mandiant se faz passar pelo New York Times, conforme mostrado abaixo.
As macros do documento do Word executam um codigo que baixa uma versão trojanizada do TightVNC de sites WordPress comprometidos que servem como servidores de comando e controle do invasor.
A Mandiant rastreia esta versão personalizada do TightVNC como “LidShift”. Após a execução, ele usa injeção de DLL para carregar uma DLL criptografada (plugin do Notepad ++ trojanizado) na memória do sistema.
O arquivo carregado é um downloader de malware chamado “LidShot”, que executa a enumeração do sistema e instala o ultimo modulo do malware,chamado “PlankWalk”.
Disfarçando como arquivos do Windows
Durante a fase pós-exploração, os hackers norte-coreanos usam um novo dropper de malware personalizado chamado “TouchShift”, que se disfarça como um binário legítimo do Windows (mscoree.dll ou netplwix.dll).
O TouchShift então carrega outro utilitário de captura de tela chamado “TouchShot”, um keylogger chamado “TouchKey”, um tunneller chamado “HookShot”, um novo carregador chamado “TouchMove” e um novo backdoor chamado “SideShow”. novo backdoor personalizado SideShow, que suporta um total de 49 comandos. Esses comandos permitem que um invasor a execução de código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute cargas adicionais.
Em alguns casos em que as organizações visadas não usavam uma VPN, os agentes de ameaças foram observados abusando do Microsoft Intune para implantar o malware “CloudBurst” usando scripts do PowerShell.
Essa ferramenta também se disfarça como um arquivo legítimo do Windows, mais especificamente, “mscoree.dll”, e sua função é realizar a enumeração do sistema.
Desativando ferramentas EDR via zero-day
Um segundo relatório publicado pela Mandiant hoje enfoca a tática “bring your own vulnerable driver” (BYOVD), seguida pela UNC2970 na última campanha.
Ao examinar os logs dos sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho (“_SB_SMBUS_SDK.dll”).
Após uma investigação mais aprofundada, os pesquisadores descobriram que esses arquivos foram criados por outro arquivo chamado “Share.DAT”, um conta-gotas na memória rastreado como “LightShift”.
O dropper carrega um modulo ofuscado chamado “LightShow”, que utiliza o driver vulnerável para executar operações arbitrárias de leitura e gravação na memória do kernel.
O código malicioso então aplica hooks em rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response) para evitar sua detecção.
Notavelmente, o driver usado nesta campanha era um driver ASUS (“Driver7.sys”) que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha de 0day.
A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador CVE-2022-42455 e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.
Os hackers norte-coreanos anteriormente visavam pesquisadores de segurança envolvidos no desenvolvimento de vulnerabilidades e exploits, criando personas falsas de mídia social on-line que fingiam ser pesquisadores de vulnerabilidades.
Essas personas entrariam em contato com outros pesquisadores de segurança sobre uma possível colaboração na pesquisa de vulnerabilidades.
Depois de estabelecer contato com um pesquisador, os hackers enviaram projetos maliciosos do Visual Studio e arquivos MHTML que exploravam um Internet Explorer 0day.
Ambas as iscas foram usadas para implantar malware nos dispositivos dos pesquisadores visados para obter acesso remoto aos computadores.
IOC’s
| IOC | Signature |
| e97b13b7e91edeceeac876c3869cc4eb | PLANKWALK |
| a9e30c16df400c3f24fc4e9d76db78ef | PLANKWALK |
| f910ffb063abe31e87982bad68fd0d87 | PLANKWALK |
| 30358639af2ecc217bbc26008c5640a7 | LIDSHIFT |
| 41dcd8db4371574453561251701107bc | LIDSHOT |
| 866f9f205fa1d47af27173b5eb464363 | TOUCHSHIFT |
| 8c597659ede15d97914cb27512a55fc7 | TOUCHSHIFT |
| a2109276dc704dedf481a4f6c8914c6e | TOUCHSHIFT |
| 3bf748baecfc24def6c0393bc2354771 | TOUCHSHOT |
| 91b6d6efa5840d6c1f10a72c66e925ce | TOUCHKEY |
| 300103aff7ab676a41e47ec3d615ba3f | HOOKSHOT |
| 49425d6dedb5f88bddc053cc8fd5f0f4 | TOUCHMOVE |
| abd91676a814f4b50ec357ca1584567e | SIDESHOW |
| 05b6f459be513bf6120e9b2b85f6c844 | CLOUDBURST |
| hxxp://webinternal.anyplex[.]com/images/query_image.jsp | PLANKWALK C2 |
| hxxp://www.fainstec[.]com/assets/js/jquery/jquery.php | PLANKWALK C2 |
| hxxps://ajayjangid[.]in/js/jquery/jquery.php | PLANKWALK C2 |
| hxxps://sede.lamarinadevalencia[.]com/tablonEdictal/layout/contentLayout.jsp | PLANKWALK C2 |
| hxxps://leadsblue[.]com/%77%70%2d%63%6f%6e%74%65%6e%74/wp-utility/index.php | LIDSHOT C2 |
| hxxps://toptradenews[.]com/%77%70%2d%63%6f%6e%74%65%6e%74/themes/themes.php | SIDESHOW C2 |
| hxxp://mantis.quick.net[.]pl/library/securimage/index.php | SIDESHOW C2 |
| hxxp://www.keewoom.co[.]kr/prod_img/201409/prod.php | SIDESHOW C2 |
| hxxp://abba-servicios[.]mx/wordpress/%77%70%2d%63%6f%6e%74%65%6e%74/themes/config.php | SIDESHOW C2 |
| hxxp://www.ruscheltelefonia[.]com.br/public/php/index.php | SIDESHOW C2 |
| hxxps://olidhealth[.]com/%77%70%2d%69%6e%63%6c%75%64%65%73/php-compat/compat.php | CLOUDBURST C2 |
| hxxps://doug[.]org/%77%70%2d%69%6e%63%6c%75%64%65%73/admin.php | CLOUDBURST C2 |
| hxxps://crickethighlights[.]today/%77%70%2d%63%6f%6e%74%65%6e%74/plugins/contact.php | CLOUDBURST C2 |
Protected by WP Anti-Hacker
Uma forma bem cruel, visto que a pessoa já passa por uma situação de fragilidade! Muito bom conteúdo!