Mandiant: хакеры Lazarus заражают ИБ-специалистов с помощью ранее неизвестных бэкдоров

• 11 марта, 2023
• 15:30

Специалисты из Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant заявили , что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

Злоумышленники используют социальную инженерию, чтобы убедить свои цели связаться с ними через WhatsApp, где они доставляют на устройства жертв полезную нагрузку вредоносного ПО «PlankWalk», бэкдор на C++, который позволяет хакерам закрепиться в корпоративной среде цели.

Эксперты отслеживают кампанию с июня 2022 года и приписали её группе, которую они отслеживают как «UNC2970». Кроме того, злоумышленники используют ранее неизвестное вредоносное ПО с названиями «TOUCHMOVE», «SIDESHOW» и «TOUCHHIFT».

Цепочка атак начинается с того, что хакеры связываются с целями в LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.

» data-html=»true» data-original-title=»LinkedIn»>LinkedIn, выдавая себя за рекрутеров. Затем они убеждают жертв перейти в WhatsApp, а там отправляют документ Word со встроенными вредоносными макросами. В некоторых случаях эти документы Word стилизованы под конкретные должности.

Документ-приманка, имитирующая предложение The New York Times

Макросы документа Word выполняют атаку Remote Template Injection — атака, в ходе которой злоумышленник размещает на своём сервере файл шаблона Word (.dotm) с вредоносными макросами. Когда пользователь создаёт новый документ Word с помощью шаблона, документ загружает вредоносный шаблон с сервера злоумышленника и запускает его.

» data-html=»true» data-original-title=»Remote Template Injection»>Remote Template Injection (удаленная инъекция шаблона) для получения заражённой версии «TightVNC» (программа для удаленного подключения к рабочему столу) со скомпрометированных сайтов WordPress, которые служат серверами управления и контроля (Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.

» data-html=»true» data-original-title=»C2″>C2, C&C) злоумышленника.

Троянизированная версия ПО TightVNC является бэкдором «LidShift», который после выполнения использует метод Reflective DLL Injection для загрузки зашифрованной DLL-библиотеки троянизированного плагина Notepad++ в память системы. Загруженный файл представляет собой загрузчик вредоносного ПО под названием «LidShot», который выполняет перечисление системы и развертывает полезную нагрузку бэкдора «PlankWalk».

На этапе пост-эксплуатации хакеры используют новый специальный Дроппер – вредоносное ПО, используемое для установки на целевую систему других угроз. Дропперы содержат в себе финальную полезную нагрузку и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.

» data-html=»true» data-original-title=»Дроппер»>дроппер под названием «TOUCHHIFT», который маскируется под двоичный файл Windows (mscoree.dll или netplwix.dll).

Затем «TouchShift» загружает:

• утилиту для создания скриншотов «TouchShot»;
• кейлоггер «TouchKey»;
• программу для создания туннелей «HookShot»;
• загрузчик «TouchMove»;
• бэкдор «SideShow».

Самым примечательным из списка является бэкдор «SideShow», который поддерживает 49 команд, позволяющие злоумышленнику, среди прочего:

• выполнять произвольный код на устройстве;
• изменять реестр;
• управлять настройками брандмауэра;
• добавлять новые запланированные задачи;
• доставлять дополнительные полезные нагрузки.

Специалисты Mandiant также обнаружили, что в последней кампании группировка UNC2970 использовала метод атаки Bring Your Own Vulnerable Driver или BYOVD – метод атаки, для проведения которой хакеры используют безобидный драйвер, который при этом содержит известные уязвимости. Поскольку такие драйверы имеют подпись, ОС позволяет их установить. После установки драйвера атакующие могут использовать соответствующий эксплойт – выполнить код или повысить права в системе.