Un gruppo di hacker nordcoreani sta attaccando esperti di sicurezza e organizzazioni mediatiche negli Stati Uniti e in Europa, utilizzando offerte di lavoro false su LinkedIn per diffondere malware personalizzato. Gli attaccanti usano l’ingegneria sociale per convincere le loro vittime ad interagire su WhatsApp, dove rilasciano il payload di malware “PlankWalk”, un backdoor in C++ che consente loro di stabilire una base nell’ambiente aziendale della vittima.

Lazarus 2020: l’interesse per Israele e gli attacchi a tema COVID19

Secondo Mandiant, che ha monitorato questa campagna particolare dall’estate del 2022, l’attività osservata si sovrappone all’operazione “Dream Job”, attribuita al gruppo nordcoreano noto come “Lazarus group”. Tuttavia, Mandiant ha osservato abbastanza differenze nei tool utilizzati, nell’infrastruttura e nelle TTPs (tattiche, tecniche e procedure) per attribuire questa campagna a un gruppo separato, che chiamano “UNC2970”.

Inoltre, gli attaccanti utilizzano malware precedentemente non identificati chiamati “TOUCHMOVE”, “SIDESHOW” e “TOUCHSHIFT”, che non sono stati attribuiti a nessun gruppo di minacce noto. Mandiant afferma che il gruppo in questione ha precedentemente preso di mira aziende tecnologiche, gruppi mediatici e entità dell’industria della difesa. La loro ultima campagna mostra che hanno ampliato il loro obiettivo e adattato le loro capacità.

Gli hacker iniziano il loro attacco avvicinando le loro vittime su LinkedIn, fingendo di essere reclutatori di lavoro. In alcuni casi, i documenti Word contenenti i macro malevoli sono stilizzati per adattarsi alle descrizioni dei lavori che vengono promossi. Ad esempio, uno dei documenti inviati da Mandiant si fingeva essere del New York Times. I macro del documento eseguono un’iniezione di template remoto per ottenere una versione compromessa di TightVNC dai siti WordPress compromessi che fungono da server di controllo dell’attaccante.

Mandiant segue questa versione personalizzata di TightVNC come “LidShift”. All’esecuzione, utilizza l’iniezione di DLL riflessiva per caricare una DLL crittografata (un plugin Notepad++ compromesso) nella memoria del sistema. Il file caricato è un downloader di malware chiamato “LidShot”, che esegue l’enumerazione del sistema e distribuisce il payload finale per stabilire una base sulla macchina compromessa, “PlankWalk”.

Durante la fase di post-exploitation, gli hacker nordcoreani usano un nuovo dropper di malware personalizzato chiamato “TouchShift”, che si camuffa da binario Windows legittimo (mscoree.dll o netplwix.dll). TouchShift carica un’utilità di screenshot chiamata “TouchShot”, un keylogger chiamato “TouchKey”, un tunnel chiamato “HookShot”, un nuovo loader chiamato “TouchMove” e un nuovo backdoor chiamato “SideShow”.

Il backdoor personalizzato SideShow è il più interessante del gruppo e supporta un totale di 49 comandi che consentono all’attaccante di eseguire l’esecuzione di codice arbitrario sul dispositivo compromesso, modificare il registro, manipolare le impostazioni del firewall, aggiungere nuovi compiti pianificati ed eseguire payload aggiuntivi.

In alcuni casi in cui le organizzazioni mirate non utilizzavano una VPN, gli attori delle minacce hanno abusato di Microsoft Intune per distribuire il malware “CloudBurst” utilizzando script PowerShell. Questo strumento si maschera anche come un file Windows legittimo, più precisamente “mscoree.dll”, e il suo ruolo è quello di eseguire l’enumerazione del sistema.

In un secondo rapporto pubblicato oggi, Mandiant si concentra sulla tattica “bring your own vulnerable driver” (BYOVD) seguita da UNC2970 nell’ultima campagna.

Esaminando i registri sui sistemi compromessi, gli analisti di Mandiant hanno trovato driver sospetti e un file DLL insolito (“_SB_SMBUS_SDK.dll”). Dopo ulteriori indagini, i ricercatori hanno scoperto che questi file erano stati creati da un altro file chiamato “Share.DAT”, un dropper in memoria tracciato come “LightShift”.

Il dropper carica un payload oscurato chiamato “LightShow”, che sfrutta il driver vulnerabile per eseguire operazioni di lettura e scrittura arbitrarie nella memoria del kernel. Il ruolo del payload è quello di patchare le routine del kernel utilizzate dal software EDR (Endpoint Detection and Response), aiutando gli intrusi a eludere la rilevazione.

È importante notare che il driver utilizzato in questa campagna era un driver ASUS (“Driver7.sys”) che non era noto per essere vulnerabile al momento della scoperta di Mandiant, quindi gli hacker nordcoreani stavano sfruttando una vulnerabilità zero-day.

Mandiant ha segnalato il problema ad ASUS nell’ottobre 2022, la vulnerabilità ha ricevuto l’identificatore CVE-2022-42455 e il venditore l’ha corretta con un aggiornamento rilasciato sette giorni dopo.

In precedenza, gli hacker nordcoreani avevano preso di mira i ricercatori della sicurezza coinvolti nello sviluppo di vulnerabilità ed exploit, creando false identità sui social media online che fingevano di essere ricercatori di vulnerabilità. Queste identità avrebbero poi contattato altri ricercatori della sicurezza per potenziali collaborazioni nella ricerca di vulnerabilità. Dopo aver stabilito contatto con un ricercatore, gli hacker inviavano progetti Visual Studio e file MHTML maligni che sfruttavano una vulnerabilità zero-day di Internet Explorer.

Entrambi questi stratagemmi sono stati utilizzati per distribuire malware sui dispositivi dei ricercatori mirati al fine di ottenere accesso remoto ai computer.