Pesquisadores de segurança são alvo de novo malware por meio de ofertas de emprego no LinkedIn

Ofertas de emprego no LinkedIn

Ofertas de emprego no LinkedIn

Um suposto grupo de hackers norte-coreanos tem como alvo pesquisadores de segurança e organizações de mídia nos EUA e na Europa com ofertas de emprego falsas que levam à implantação de três novas famílias de malware personalizadas.
Compartilhe

Os invasores usam a engenharia social para convencer seus alvos a se envolverem pelo WhatsApp, onde lançam a carga de malware “PlankWalk”, um backdoor C++ que os ajuda a estabelecer uma posição no ambiente corporativo do alvo.

De acordo com a Mandiant, que acompanha a campanha em particular desde junho de 2022, a atividade observada se sobrepõe à “ Operação Dream Job ”, atribuída ao cluster norte-coreano conhecido como “grupo Lazarus”.

No entanto, a Mandiant observou diferenças suficientes nas ferramentas empregadas, infraestrutura e TTPs (táticas, técnicas e procedimentos) para atribuir esta campanha a um grupo separado que eles rastreiam como “UNC2970”.

Além disso, os invasores usam malwares inéditos chamados ‘TOUCHMOVE’, ‘SIDESHOW’ e ‘TOUCHSHIFT’, que não foram atribuídos a nenhum grupo de ameaças conhecido.

A Mandiant diz que o grupo em particular já tinha como alvo empresas de tecnologia, grupos de mídia e entidades da indústria de defesa. Sua campanha mais recente mostra que evoluiu seu escopo de segmentação e adaptou seus recursos.

Phishing para ganhar uma posição

Os hackers iniciam seu ataque abordando alvos pelo LinkedIn, se passando por recrutadores de empregos. Por fim, eles mudaram para o WhatsApp para continuar o processo de “recrutamento”, compartilhando um documento do Word incorporado com macros maliciosas.

A Mandiant diz que, em alguns casos, esses documentos do Word são estilizados para se adequar às descrições de trabalho que estão promovendo para os alvos. Por exemplo, uma das iscas compartilhadas por Mandiant se faz passar pelo New York Times, conforme mostrado abaixo.

Documento de atração enviado aos alvos
Documento de atração enviado aos alvos (Mandiant)

As macros do documento do Word executam a injeção de modelo remoto para buscar uma versão trojanizada do TightVNC de sites WordPress comprometidos que servem como servidores de comando e controle do invasor.

A Mandiant rastreia esta versão personalizada do TightVNC como “LidShift”. Após a execução, ele usa injeção reflexiva de DLL para carregar uma DLL criptografada (plugin do Notepad ++ trojanizado) na memória do sistema.

O arquivo carregado é um downloader de malware chamado “LidShot”, que executa a enumeração do sistema e implanta a carga final de estabelecimento de posição no dispositivo violado, “PlankWalk”.

Disfarçando como arquivos do Windows

Durante a fase pós-exploração, os hackers norte-coreanos usam um novo dropper de malware personalizado chamado “TouchShift”, que se disfarça como um binário legítimo do Windows (mscoree.dll ou netplwix.dll).

O TouchShift então carrega outro utilitário de captura de tela chamado “TouchShot”, um keylogger chamado “TouchKey”, um tunelizador chamado “HookShot”, um novo carregador chamado “TouchMove” e um novo backdoor chamado “SideShow”.

Carregando carga útil na memória
TouchShift carregando payload na memória (Mandiant)

O mais interessante do grupo é o novo SideShow personalizado backdoor, que suporta um total de 49 comandos. Esses comandos permitem que um invasor execute a execução de código arbitrário no dispositivo comprometido, modifique o registro, manipule as configurações do firewall, adicione novas tarefas agendadas e execute cargas adicionais.

Em alguns casos em que as organizações visadas não usavam uma VPN, os agentes de ameaças foram observados abusando do Microsoft Intune para implantar o malware “CloudBurst” usando scripts do PowerShell.

Essa ferramenta também se disfarça como um arquivo legítimo do Windows, mais especificamente, “mscoree.dll”, e sua função é realizar a enumeração do sistema.

Desativando ferramentas EDR via zero-day

Um segundo relatório publicado pela Mandiant hoje enfoca a tática “traga seu próprio motorista vulnerável” (BYOVD), seguida pela UNC2970 na última campanha.

Ao examinar os logs dos sistemas comprometidos, os analistas da Mandiant encontraram drivers suspeitos e um arquivo DLL estranho (“_SB_SMBUS_SDK.dll”).

Após uma investigação mais aprofundada, os pesquisadores descobriram que esses arquivos foram criados por outro arquivo chamado “Share.DAT”, um conta-gotas na memória rastreado como “LightShift”.

O dropper carrega uma carga útil ofuscada chamada “LightShow”, que aproveita o driver vulnerável para executar operações arbitrárias de leitura e gravação na memória do kernel.

Código LightShow ofuscado
Código LightShow ofuscado (Mandiant)

A função da carga útil é corrigir as rotinas do kernel usadas pelo software EDR (Endpoint Detection and Response), ajudando os invasores a evitar a detecção.

Notavelmente, o driver usado nesta campanha era um driver ASUS (“Driver7.sys”) que não era conhecido por ser vulnerável no momento da descoberta da Mandiant, então os hackers norte-coreanos estavam explorando uma falha de dia zero.

A Mandiant relatou o problema à ASUS em outubro de 2022, a vulnerabilidade recebeu o identificador CVE-2022-42455 e o fornecedor a corrigiu por meio de uma atualização lançada sete dias depois.

Os hackers norte-coreanos anteriormente visavam pesquisadores de segurança envolvidos no desenvolvimento de vulnerabilidades e exploits, criando personas falsas de mídia social on-line que fingiam ser pesquisadores de vulnerabilidades.

Essas personas entrariam em contato com outros pesquisadores de segurança sobre uma possível colaboração na pesquisa de vulnerabilidades.

Depois de estabelecer contato com um pesquisador, os hackers enviaram projetos maliciosos do Visual Studio e arquivos MHTML que exploravam um arquivo.

Ambas as iscas foram usadas para implantar malware nos dispositivos dos pesquisadores visados ​​para obter acesso remoto aos computadores.

Fonte: bleeping