Новости Mandiant: хакеры Lazarus заражают ИБ-специалистов с помощью ранее неизвестных бэкдоров

[NewsMaker]

Злоумышленники связываются с соискателями на Linkedln через WhatsApp, где «закидывают» жертву вредоносными программами.​

---

---

Специалисты из Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

Злоумышленники используют социальную инженерию, чтобы убедить свои цели связаться с ними через WhatsApp, где они доставляют на устройства жертв полезную нагрузку вредоносного ПО «PlankWalk», бэкдор на C++, который позволяет хакерам закрепиться в корпоративной среде цели.

Эксперты отслеживают кампанию с июня 2022 года и приписали её группе, которую они отслеживают как «UNC2970». Кроме того, злоумышленники используют ранее неизвестное вредоносное ПО с названиями «TOUCHMOVE», «SIDESHOW» и «TOUCHHIFT».

Цепочка атак начинается с того, что хакеры связываются с целями в Для просмотра ссылки Войди или Зарегистрируйся , выдавая себя за рекрутеров. Затем они убеждают жертв перейти в WhatsApp, а там отправляют документ Word со встроенными вредоносными макросами. В некоторых случаях эти документы Word стилизованы под конкретные должности.

---

---

Документ-приманка, имитирующая предложение The New York Times Макросы документа Word выполняют атаку Для просмотра ссылки Войди или Зарегистрируйся (удаленная инъекция шаблона) для получения заражённой версии «TightVNC» (программа для удаленного подключения к рабочему столу) со скомпрометированных сайтов WordPress, которые служат серверами управления и контроля ( Для просмотра ссылки Войди или Зарегистрируйся , C&C) злоумышленника.

Троянизированная версия ПО TightVNC является бэкдором «LidShift», который после выполнения использует метод Для просмотра ссылки Войди или Зарегистрируйся для загрузки зашифрованной DLL-библиотеки троянизированного плагина Notepad++ в память системы. Загруженный файл представляет собой загрузчик вредоносного ПО под названием «LidShot», который выполняет перечисление системы и развертывает полезную нагрузку бэкдора «PlankWalk».

На этапе пост-эксплуатации хакеры используют новый специальный Для просмотра ссылки Войди или Зарегистрируйся под названием «TOUCHHIFT», который маскируется под двоичный файл Windows (mscoree.dll или netplwix.dll).

Затем «TouchShift» загружает:

• утилиту для создания скриншотов «TouchShot»;
• кейлоггер «TouchKey»;
• программу для создания туннелей «HookShot»;
• загрузчик «TouchMove»;
• бэкдор «SideShow».

Самым примечательным из списка является бэкдор «SideShow», который поддерживает 49 команд, позволяющие злоумышленнику, среди прочего:

• выполнять произвольный код на устройстве;
• изменять реестр;
• управлять настройками брандмауэра;
• добавлять новые запланированные задачи;
• доставлять дополнительные полезные нагрузки.

Специалисты Mandiant также обнаружили, что в последней кампании группировка UNC2970 использовала метод атаки Для просмотра ссылки Войди или Зарегистрируйся (Bring Your Own Vulnerable Driver), чтобы доставить дроппер «LightShift», который загружает обфусцированную полезную нагрузку под названием «LightShow».

LightShow использует уязвимый драйвер ASUS (Driver7.sys) для выполнения произвольных операций чтения и записи в памяти ядра, чтобы исправить подпрограммы ядра, используемых EDR-решениями, позволяя злоумышленникам избежать обнаружения.

Северокорейские хакеры Для просмотра ссылки Войди или Зарегистрируйся , связываясь с ними в соцсетях через поддельные профили исследователей безопасности, а затем отправляли жертвам вредоносные проекты Visual Studio и MHTML-файлы, которые использовали 0-day уязвимость Internet Explorer. Эти файлы использовались для развертывания вредоносных программ на устройствах для получения удаленного доступа к компьютерам.