Северокорейские хакеры применяют новый способ атак через LinkedIn

14 марта 2023, 14:01
Читати новину українською

Источник:

Mandiant

Эксперты Mandiant заметили, что северокорейские хакеры сосредоточили внимание на исследователях информационной безопасности. Преступники пытаются заразить их вирусом, надеясь проникнуть в сети компаний, где они работают.

В Mandiant рассказывают, что впервые обнаружили эту кампанию в июне 2022 года, когда отслеживали фишинговую кампанию, нацеленную на американского клиента в технологической отрасли. Тогда хакеры пытались заразить жертву тремя новыми вирусами – Touchmove, Sideshow и Touchshift.

Интересно Microsoft обвиняет иранских хакеров в атаках на скандальный журнал Charlie Hebdo

Что известно

Впоследствии произошла волна атак на американские и европейские СМИ со стороны группировки UNC2970, которую Mandiant связала с Северной Кореей. Для этих атак UNC2970 использовала целевой почтовый фишинг, замаскированный под предложения о работе, пытаясь вынудить свои цели установить вирусную программу.

  • Исследователи говорят, что недавно UNC2970 сменила тактику и теперь вместо фишинговых писем перешла на использование фейковых аккаунтов LinkedIn, якобы принадлежащих HR. Такие аккаунты мастерски имитируют личности реальных людей, чтобы обмануть жертв и повысить шансы на успех.
  • Связавшись с жертвой и сделав ей "интересное предложение" о работе, злоумышленники пытаются перевести разговор в WhatsApp, а затем использовать либо сам мессенджер, либо электронную почту для доставки бэкдора, который в Mandiant назвали Plankwalk, а также других семейств малвари.
  • Plankwalk и другие вредители этой группы используют в основном макросы в Microsoft Word. Когда документ открыт, а запуск макросов в программе разрешен, компьютер жертвы загружает и выполняет вредную полезную нагрузку с хакерских серверов.
  • В итоге загружается ZIP-архив, который, помимо прочего, содержит вредоносную версию программы TightVNC для удаленного доступа к рабочему столу, которую Mandiant отслеживает под названием LIDSHIFT.
  • Жертве говорят запустить приложение TightVNC, чтобы якобы пройти тестирование для трудоустройства, а между тем в фоне осуществляют проникновение в систему.

Исследователи говорят, что ранее эта группировка из КНДР нацеливалась на оборонную, медиа- и технологическую отрасли.