Північнокорейські хакери застосовують новий спосіб атак через LinkedIn

14 березня 2023, 14:01
Читать новость на русском

Джерело:

Mandiant

Експерти Mandiant помітили, що північнокорейські хакери зосередили свою увагу на дослідниках інформаційної безпеки. Злочинці намагаються заразити їх вірусом, сподіваючись проникнути в мережі компаній, де ті працюють.

У Mandiant розповідають, що вперше виявили цю кампанію в червні 2022 року, коли відстежували фішингову кампанію, націлену на американського клієнта з технологічної галузі. Тоді хакери намагалися заразити жертву трьома новими вірусами – Touchmove, Sideshow і Touchshift.

Цікаво Microsoft звинувачує іранських хакерів в атаках на скандальний журнал Charlie Hebdo

Що відомо

Згодом сталася хвиля атак на американські та європейські ЗМІ з боку угруповання UNC2970, яке Mandiant пов'язує з Північною Кореєю. Для цих атак UNC2970 використовувала цільовий поштовий фішинг, замаскований під пропозиції про роботу, намагаючись змусити свої цілі встановити вірусну програму.

  • Дослідники кажуть, що нещодавно UNC2970 змінила тактику і тепер замість фішингових листів перейшла на використання фейкових акаунтів LinkedIn, які нібито належать HR. Такі облікові записи майстерно імітують особистості реальних людей, щоб обдурити жертв і підвищити шанси на успіх.
  • Зв'язавшись із жертвою і зробивши їй "цікаву пропозицію" щодо роботи, зловмисники намагаються перевести розмову у WhatsApp, а потім використати або сам месенджер, або електронну пошту для доставки бекдора, який у Mandiant назвали Plankwalk, а також інших родин малварі.
  • Plankwalk та інші шкідники цієї групи в основному використовують макроси в Microsoft Word. Коли документ відкрито, а запуск макросів у програмі дозволено, комп'ютер жертви завантажує та виконує шкідливе корисне навантаження з серверів хакерів.
  • У підсумку завантажується ZIP-архів, який, крім іншого, містить шкідливу версію програми TightVNC для віддаленого доступу до робочого столу, яку Mandiant відстежує під назвою LIDSHIFT.
  • Жертві кажуть запустити додаток TightVNC, щоб начебто пройти тестування для працевлаштування, а тим часом у фоні здійснюють проникнення в систему.

Дослідники кажуть, що раніше це угруповання з КНДР націлювалося на оборонну, медіа- та технологічну галузі.