imágenes falsas
Los actores de amenazas conectados con el gobierno de Corea del Norte han estado apuntando a los investigadores de seguridad en una campaña de piratería que utiliza nuevas técnicas y malware con la esperanza de afianzarse dentro de las empresas para las que trabajan los objetivos, dijeron los investigadores.
Investigadores de la firma de seguridad Mandiant dijo el jueves que vieron la campaña por primera vez en junio pasado mientras rastreaban una campaña de phishing dirigida a un cliente de la industria tecnológica con sede en EE. UU. Los piratas informáticos de esta campaña intentaron infectar objetivos con tres nuevas familias de malware, denominadas por Mandiant como Touchmove, Sideshow y Touchshift. Los piratas informáticos en estos ataques también demostraron nuevas capacidades para contrarrestar las herramientas de detección de puntos finales mientras operan dentro de los entornos de nube de los objetivos.
“Mandiant sospecha que UNC2970 apuntó específicamente a los investigadores de seguridad en esta operación”, escribieron los investigadores de Mandiant.
Poco después de descubrir la campaña, Mandiant respondió a múltiples intrusiones en organizaciones de medios estadounidenses y europeas por parte de UNC2970, el nombre de Mandiant para el actor de amenazas de Corea del Norte. UNC2970 usó spearphishing con un tema de contratación de trabajo en un intento de atraer a los objetivos y engañarlos para que instalaran el nuevo malware.
Tradicionalmente, UNC2970 se ha dirigido a organizaciones con correos electrónicos de spearphishing que tienen temas de contratación laboral. Más recientemente, el grupo ha pasado a utilizar cuentas falsas de LinkedIn que pertenecen a supuestos reclutadores. Las cuentas están cuidadosamente diseñadas para imitar las identidades de personas legítimas para engañar a los objetivos y aumentar sus posibilidades de éxito. Eventualmente, el actor de amenazas intenta cambiar las conversaciones a WhatsApp y, desde allí, usar WhatsApp o el correo electrónico para entregar una puerta trasera Mandiant llama a Plankwalk u otras familias de malware.
Plankwalk o el otro malware utilizado se entregan principalmente a través de macros incrustadas en documentos de Microsoft Word. Cuando se abren los documentos y se permite que se ejecuten las macros, la máquina del objetivo descarga y ejecuta una carga útil maliciosa desde un servidor de comando y control. Uno de los documentos utilizados se veía así:
mandante
Los servidores de comando y control de los atacantes son principalmente sitios de WordPress comprometidos, que es otra técnica por la que se conoce a UNC2970. El proceso de infección implica enviar al objetivo un archivo que, entre otras cosas, incluye una versión maliciosa de la aplicación de escritorio remoto TightVNC. En la publicación, los investigadores de Mandiant describieron con más detalle el proceso:
El archivo ZIP entregado por UNC2970 contenía lo que la víctima pensó que era una prueba de evaluación de habilidades para una solicitud de empleo. En realidad, el ZIP contenía un archivo ISO, que incluía una versión troyanizada de TightVNC que Mandiant rastrea como LIDSHIFT. Se le indicó a la víctima que ejecutara la aplicación TightVNC que, junto con los otros archivos, tienen el nombre apropiado de la empresa para la que la víctima había planeado realizar la evaluación.
Además de funcionar como un visor TightVNC legítimo, LIDSHIFT contenía múltiples funciones ocultas. La primera era que, tras la ejecución por parte del usuario, el malware enviaba una baliza a su C2 codificado; la única interacción que necesitaba del usuario era el lanzamiento del programa. Esta falta de interacción difiere de lo que MSTIC observó en su reciente publicación de blog. La baliza C2 inicial de LIDSHIFT contiene el nombre de usuario y el nombre de host iniciales de la víctima.
La segunda capacidad de LIDSHIFT es inyectar reflexivamente una DLL cifrada en la memoria. La DLL inyectada es un complemento de Notepad ++ troyanizado que funciona como un descargador, que Mandiant rastrea como LIDSHOT. LIDSHOT se inyecta tan pronto como la víctima abre el menú desplegable dentro de la aplicación TightVNC Viewer. LIDSHOT tiene dos funciones principales: enumeración del sistema y descarga y ejecución de shellcode desde el C2.
El ataque continúa para instalar la puerta trasera Plankwalk, que luego puede instalar una amplia gama de herramientas adicionales, incluida la aplicación de punto final de Microsoft InTune. InTune se puede utilizar para entregar configuraciones a puntos finales inscritos en el servicio Azure Active Directory de una organización. UNC2970 parece estar usando la aplicación legítima para eludir las protecciones de punto final.
“Las herramientas de malware identificadas destacan el desarrollo continuo de malware y la implementación de nuevas herramientas por parte de UNC2970”, escribieron los investigadores de Mandiant. “Aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnología, la orientación de los investigadores de seguridad sugiere un cambio en la estrategia o una expansión de sus operaciones”.
Si bien la orientación de los investigadores de seguridad puede ser nueva para UNC2970, otros actores de amenazas de Corea del Norte se han involucrado en la actividad desde al menos 2021.
Los objetivos pueden disminuir las posibilidades de infección en estas campañas mediante el uso de:
- Autenticación multifactor
- Cuentas solo en la nube a las que acceder Directorio activo de Azure
- Una cuenta separada para enviar correos electrónicos, navegar por la Web y actividades similares y una cuenta de administrador dedicada para funciones administrativas confidenciales.
Las organizaciones también deben considerar otras protecciones, incluido el bloqueo de macros y el uso de administración de identidades privilegiadas, políticas de acceso condicional y restricciones de seguridad en Azure AD. También se recomienda solicitar que varios administradores aprueben las transacciones de InTune. La lista completa de mitigaciones se incluye en la publicación de Mandiant vinculada anteriormente.