Biznesa sociālo mediju platforma LinkedIn turpina maksāt dividendes Ziemeļkorejas hakeriem, tostarp vienam grupējumam, kas vēsturiski koncentrējās uz Dienvidkorejas mērķiem, bet tagad ir paplašinājis savu darbību un cenšas uzmeklēt drošības pētniekus un mediju nozares darbiniekus Rietumos.
Google draudu izlūkošanas struktūrvienība Mandiant izsekoja Phenjanas grupējumu ar nosaukumu UNC2970, kas sociālajā tīklā LinkedIn uzdodas par darbinieku meklētājiem, lai vilinātu upurus atvērt pikšķerēšanas payload, kas maskēta kā darba apraksts vai prasmju novērtējums.
Pikšķerēšanas payloads galvenokārt ir Microsoft Word dokumenti, kuros ir iestrādāti makrāji, lai veiktu attālinātu parauga injekciju, lai lejupielādētu un izpildītu ielādi no attālināta komandu un kontroles servera – parasti kompromitētas WordPress vietnes, raksta Mandiant.
Tā identificētā operācija UNC2970, kas ir bijusi aktīva kopš 2022. gada jūnija, pārklājas ar viltotu darba meklēšanas aktivitātēm, kuras uzņēmumi, tostarp Google Threat Analysis Group, Proofpoint un ClearSky, ir publiski identificējuši kā operāciju Dream Job.
Ziemeļkorejas hakerdarbi tiek veikti stingrā valsts uzraudzībā, taču Mandiant apgalvo, ka tiem vajadzētu būt daudz niansētākam, nevis visas aktivitātes vienkopus dēvēt par “Lazarus Group“. Ziemeļkoreja saglabā elastību un noturību, saglabājot dažādas hakeru vienības, pat ja to infrastruktūra, ļaunprogrammatūra un taktika pārklājas.
Jaunākā kampaņa sākas ar to, ka uzbrucēji, uzdodoties par darbinieku meklētājiem, kuri imitē likumīgas mediju organizācijas, piemēram, The New York Times, lai nodibinātu kontaktu ar saviem upuriem. Mandiant atklāja šo kampaņu pēc tam, kad tā bija atklājusi pikšķerēšanas kampaņu, kas bija vērsta pret kādu neidentificētu ASV tehnoloģiju uzņēmumu.
Hakeri pamudina upurus pārvietot sarunu no LinkedIn uz WhatsApp un tālāk maldina savus mērķus, lai lejupielādētu ļaunprātīgu zip failu. “LinkedIn konti ir labi izstrādāti un profesionāli veidoti, lai atdarinātu likumīgo lietotāju identitātes”, norāda Mandiant.
Kad upuri iespējo failu, ļaunprātīgā lietojumprogramma lejupielādē ļaunprogrammatūru LidShift, kas pēc tam lejupielādē ļaunprogrammatūras vadību un kontrolieri (command and controller). Pēc tam hakeri ielādē vairākus citus ļaunprogrammatūras variantus, lai nostiprinātos tīklā, veiktu taustiņu reģistrēšanu un mēģinātu sazināties ar vadības un kontroles serveriem.
Vismaz vienā gadījumā Draudu dalībnieki izmantoja Microsoft galapunktu vadības pakalpojumu InTune, lai izvietotu ļaunprātīgu programmatūru uz resursdatoriem vidē. UNC2970 izmantoja Microsoft Intune vadības paplašinājumu, lai augšupielādētu pielāgotus PowerShell skriptus, kas saturēja ļaunprātīgu kodu, dažādos klienta vides resursdatoros.
PowerShell skripts tika izmantots, lai dekodētu ļaunprogrammatūru, ko Mandiant izseko kā Cloudburst, un sideload to, liekot tai izskatīties kā likumīgai Windows binārajai programmatūrai.
