Северокорейские хакеры UNC2970 разработали беспрецедентный модульный бэкдор с обширным функционалом

• 10 марта, 2023
• 21:30

В последнем отчёте компании Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant было выявлено, что северокорейская шпионская группа, отслеживаемая под идентификатором UNC2970, с июня 2022 года использует ранее незадокументированные семейства вредоносных программ в рамках целевой фишинговой кампании, нацеленной на СМИ и технологические организации в Америке и Европе.

Mandiant заявила, что кластер угроз «многократно пересекается» с длительной операцией, получившей название «Dream Job» («Работа мечты»). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.

Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.

» data-html=»true» data-original-title=»LinkedIn»>LinkedIn. Выбранный метод социальной инженерии подразумевает использование «хорошо разработанных и профессионально курируемых» поддельных учётных записей, с помощью которых злоумышленники выдают себя за рекрутеров. Далее разговор переключается в WhatsApp, после чего жертве под видом должностной инструкции доставляется фишинговая В контексте кибербезопасности «полезная нагрузка» — это часть вредоносного программного обеспечения, которая производит деструктивные действия с данными, копирование информации с заражённого компьютера и т.д. (в отличие от транспортной части/инфекционной части, которая занимается доставкой и заражением устройства).

» data-html=»true» data-original-title=»Полезная нагрузка»>полезная нагрузка.

Создание плацдарма в скомпрометированных средах достигается с помощью Бэкдор — это  тип вредоносного ПО, которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.

» data-html=»true» data-original-title=»Бэкдор»>бэкдора на основе C++, известного как PLANKWALK, который затем прокладывает путь для распространения дополнительных инструментов, таких как:

• TOUCHHIFT — дроппер вредоносных программ, загружающий как кейлоггеры и утилиты для создания скриншотов, так и полнофункциональные бэкдоры.
• TOUCHSHOT — программа, которая делает снимок экрана каждые три секунды.
• TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные из буфера обмена.
• HOOKSHOT — инструмент туннелирования, который подключается через TCP для связи с C2-сервером.
• TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине.
• SIDESHOW — бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим C2-сервером.

Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.

«Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970», — заявили специалисты Mandiant.