У Mandiant розповідають, що вперше виявили цю кампанію в червні 2022 року, коли відстежували фішингову кампанію, націлену на американського клієнта з технологічної галузі. Тоді хакери намагалися заразити жертву трьома новими вірусами – Touchmove, Sideshow і Touchshift.
Цікаво Microsoft звинувачує іранських хакерів в атаках на скандальний журнал Charlie Hebdo
Що відомо
Згодом сталася хвиля атак на американські та європейські ЗМІ з боку угруповання UNC2970, яке Mandiant пов'язує з Північною Кореєю. Для цих атак UNC2970 використовувала цільовий поштовий фішинг, замаскований під пропозиції про роботу, намагаючись змусити свої цілі встановити вірусну програму.
- Дослідники кажуть, що нещодавно UNC2970 змінила тактику і тепер замість фішингових листів перейшла на використання фейкових акаунтів LinkedIn, які нібито належать HR. Такі облікові записи майстерно імітують особистості реальних людей, щоб обдурити жертв і підвищити шанси на успіх.
- Зв'язавшись із жертвою і зробивши їй "цікаву пропозицію" щодо роботи, зловмисники намагаються перевести розмову у WhatsApp, а потім використати або сам месенджер, або електронну пошту для доставки бекдора, який у Mandiant назвали Plankwalk, а також інших родин малварі.
- Plankwalk та інші шкідники цієї групи в основному використовують макроси в Microsoft Word. Коли документ відкрито, а запуск макросів у програмі дозволено, комп'ютер жертви завантажує та виконує шкідливе корисне навантаження з серверів хакерів.
- У підсумку завантажується ZIP-архів, який, крім іншого, містить шкідливу версію програми TightVNC для віддаленого доступу до робочого столу, яку Mandiant відстежує під назвою LIDSHIFT.
- Жертві кажуть запустити додаток TightVNC, щоб начебто пройти тестування для працевлаштування, а тим часом у фоні здійснюють проникнення в систему.
Дослідники кажуть, що раніше це угруповання з КНДР націлювалося на оборонну, медіа- та технологічну галузі.