Οι Βορειοκορεάτες hackers UNC2970 στέλνουν phishing emails (με εργασιακά θέματα) σε υπαλλήλους εταιρειών ενέργειας και αεροδιαστημικής, με σκοπό να τους μολύνουν με το MISTPEN malware.
Σύμφωνα με ερευνητές της Mandiant, η ομάδα κατασκοπείας UNC2970 έχει κοινά στοιχεία με μια άλλη ομάδα απειλών, τη Lazarus Group.
Οι Βορειοκορεάτες hackers έχουν στοχεύσει κυβερνητικές υπηρεσίες, οργανισμούς άμυνας, εταιρείες τηλεπικοινωνιών και χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, τουλάχιστον από το 2013. Στόχος των επιθέσεων είναι, συνήθως, η συλλογή στρατηγικών πληροφοριών που προωθούν τα συμφέροντα της Βόρειας Κορέας.
Δείτε επίσης: Το DOJ κατηγορεί Κινέζο μηχανικό για spear phishing κατά της NASA
Windows 10 τέλος, απομένει μόλις ένας χρόνος υποστήριξης
Κομήτης θα κάνει μια θεαματική προσέγγιση τον Οκτώβριο
Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!
Σύμφωνα με τη Mandiant, τη ομάδα UNC2970 έχει στοχεύσει διάφορες οντότητες στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ολλανδία, την Κύπρο, τη Σουηδία, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την Αυστραλία.
“Η UNC2970 στοχεύει θύματα με το πρόσχημα νέων θέσεων εργασίας. Οι επιτιθέμενοι παριστάνουν recruiters μεγάλων εταιρειών“, ανέφεραν οι ερευνητές. Οι Βορειοκορεάτες hackers αντιγράφουν και τροποποιούν τις περιγραφές θέσεων εργασίας σύμφωνα με τα προφίλ στόχων τους.
“Επιπλέον, οι επιλεγμένες περιγραφές θέσεων εργασίας απευθύνονται σε υπαλλήλους ανώτερου/διευθυντικού επιπέδου. Αυτό υποδηλώνει ότι οι επιτιθέμενοι θέλουν να αποκτήσουν πρόσβαση σε ευαίσθητες και εμπιστευτικές πληροφορίες που, συνήθως, περιορίζονται σε υψηλόβαθμους υπαλλήλους“.
Οι αλυσίδες επιθέσεων, γνωστές και ως Operation Dream Job, περιλαμβάνουν spear-phishing τεχνικές και οι Βορειοκορεάτες hackers UNC2970 αλληλεπιδρούν με τα θύματα μέσω email και WhatsApp. Στις πρώτες επικοινωνίες, οι επιτιθέμενοι προσπαθούν να κερδίσουν την εμπιστοσύνη των θυμάτων και μετά τους στέλνουν ένα κακόβουλο αρχείο ZIP (υποτιθέμενη περιγραφή εργασίας).
Δείτε επίσης: Νέο phishing scam παρουσιάζεται σαν ειδοποίηση ασφαλείας
Το ενσωματωμένο αρχείο PDF μπορεί να ανοίξει μόνο με μια trojanized έκδοση μιας νόμιμης εφαρμογής ανάγνωσης PDF, που ονομάζεται Sumatra PDF και περιλαμβάνεται στο αρχείο για την παράδοση του MISTPEN malware μέσω ενός launcher που αναφέρεται ως BURNBOOK.
Αξίζει να σημειωθεί ότι αυτό δεν συνεπάγεται επίθεση στην αλυσίδα εφοδιασμού ούτε υπάρχει ευπάθεια στο λογισμικό. Μάλλον χρησιμοποιείται μια παλαιότερη έκδοση του Sumatra PDF που έχει επανασχεδιαστεί για να ενεργοποιήσει την αλυσίδα μόλυνσης.
Πιστεύεται ότι οι φορείς απειλών πιθανότατα καθοδηγούν τα θύματα να ανοίξουν το αρχείο PDF χρησιμοποιώντας το ενσωματωμένο πρόγραμμα προβολής PDF για να ενεργοποιήσουν την εκτέλεση ενός κακόβουλου αρχείου DLL, ενός C/C++ launcher που ονομάζεται BURNBOOK.
Αυτό το αρχείο είναι ένα dropper για ένα ενσωματωμένο DLL, “wtsapi32.dll“, το οποίο παρακολουθείται ως TEARPAGE και χρησιμοποιείται για την εκτέλεση του MISTPEN backdoor malware μετά την επανεκκίνηση του συστήματος“, δήλωσαν οι ερευνητές της Mandiant. “Το MISPEN είναι μια trojanized έκδοση ενός νόμιμου Notepad++ plugin, binhex.dll, που περιέχει ένα backdoor“.
Δείτε επίσης: Επιθέσεις phishing σε gov.gr και Ελληνικές Τράπεζες
Το TEARPAGE, το loader που είναι ενσωματωμένο στο BURNBOOK, είναι υπεύθυνο για την αποκρυπτογράφηση και την εκκίνηση του MISTPEN. Το MISTPEN malware λαμβάνει και εκτελεί αρχεία Portable Executable (PE) που ανακτώνται από έναν διακομιστή εντολών και ελέγχου (C2).
Η Mandiant είπε επίσης ότι αποκάλυψε παλαιότερα BURNBOOK και MISTPEN artifacts, υποδηλώνοντας ότι βελτιώνονται για να προσθέσουν περισσότερες δυνατότητες.
Τα παραπάνω δείχνουν ότι υπάρχει μεγάλη ανάγκη να ληφθούν κάποια μέτρα προστασίας έναντι των phishing emails. Ας δούμε μερικά από αυτά:
- Χρήση email spam filters
- Προστασία συσκευών με λογισμικό προστασίας από ιούς
- Τακτική ενημέρωση λογισμικού
- Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
- Δημιουργία αντιγράφων ασφαλείας
Εάν μιλάμε για επιχειρήσεις (όπως εταιρείες ενέργειας και αεροδιαστημικής) τότε απαραίτητα είναι και κάποια έξτρα μέτρα:
- Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις
- Παρακολούθηση και προστασία των endpoints
- Περιορισμός πρόσβασης σε σημαντικά συστήματα
- Τμηματοποίηση δικτύου
Πηγή: thehackernews.com