В Mandiant рассказывают, что впервые обнаружили эту кампанию в июне 2022 года, когда отслеживали фишинговую кампанию, нацеленную на американского клиента в технологической отрасли. Тогда хакеры пытались заразить жертву тремя новыми вирусами – Touchmove, Sideshow и Touchshift.
Интересно Microsoft обвиняет иранских хакеров в атаках на скандальный журнал Charlie Hebdo
Что известно
Впоследствии произошла волна атак на американские и европейские СМИ со стороны группировки UNC2970, которую Mandiant связала с Северной Кореей. Для этих атак UNC2970 использовала целевой почтовый фишинг, замаскированный под предложения о работе, пытаясь вынудить свои цели установить вирусную программу.
- Исследователи говорят, что недавно UNC2970 сменила тактику и теперь вместо фишинговых писем перешла на использование фейковых аккаунтов LinkedIn, якобы принадлежащих HR. Такие аккаунты мастерски имитируют личности реальных людей, чтобы обмануть жертв и повысить шансы на успех.
- Связавшись с жертвой и сделав ей "интересное предложение" о работе, злоумышленники пытаются перевести разговор в WhatsApp, а затем использовать либо сам мессенджер, либо электронную почту для доставки бэкдора, который в Mandiant назвали Plankwalk, а также других семейств малвари.
- Plankwalk и другие вредители этой группы используют в основном макросы в Microsoft Word. Когда документ открыт, а запуск макросов в программе разрешен, компьютер жертвы загружает и выполняет вредную полезную нагрузку с хакерских серверов.
- В итоге загружается ZIP-архив, который, помимо прочего, содержит вредоносную версию программы TightVNC для удаленного доступа к рабочему столу, которую Mandiant отслеживает под названием LIDSHIFT.
- Жертве говорят запустить приложение TightVNC, чтобы якобы пройти тестирование для трудоустройства, а между тем в фоне осуществляют проникновение в систему.
Исследователи говорят, что ранее эта группировка из КНДР нацеливалась на оборонную, медиа- и технологическую отрасли.