Злоумышленники связываются с соискателями на Linkedln через WhatsApp, где «закидывают» жертву вредоносными программами.
Специалисты из Для просмотра ссылки Войди
Злоумышленники используют социальную инженерию, чтобы убедить свои цели связаться с ними через WhatsApp, где они доставляют на устройства жертв полезную нагрузку вредоносного ПО «PlankWalk», бэкдор на C++, который позволяет хакерам закрепиться в корпоративной среде цели.
Эксперты отслеживают кампанию с июня 2022 года и приписали её группе, которую они отслеживают как «UNC2970». Кроме того, злоумышленники используют ранее неизвестное вредоносное ПО с названиями «TOUCHMOVE», «SIDESHOW» и «TOUCHHIFT».
Цепочка атак начинается с того, что хакеры связываются с целями в Для просмотра ссылки Войди
Документ-приманка, имитирующая предложение The New York Times Макросы документа Word выполняют атаку Для просмотра ссылки Войди
Троянизированная версия ПО TightVNC является бэкдором «LidShift», который после выполнения использует метод Для просмотра ссылки Войди
На этапе пост-эксплуатации хакеры используют новый специальный Для просмотра ссылки Войди
Затем «TouchShift» загружает:
- утилиту для создания скриншотов «TouchShot»;
- кейлоггер «TouchKey»;
- программу для создания туннелей «HookShot»;
- загрузчик «TouchMove»;
- бэкдор «SideShow».
Самым примечательным из списка является бэкдор «SideShow», который поддерживает 49 команд, позволяющие злоумышленнику, среди прочего:
- выполнять произвольный код на устройстве;
- изменять реестр;
- управлять настройками брандмауэра;
- добавлять новые запланированные задачи;
- доставлять дополнительные полезные нагрузки.
Специалисты Mandiant также обнаружили, что в последней кампании группировка UNC2970 использовала метод атаки Для просмотра ссылки Войди
LightShow использует уязвимый драйвер ASUS (Driver7.sys) для выполнения произвольных операций чтения и записи в памяти ядра, чтобы исправить подпрограммы ядра, используемых EDR-решениями, позволяя злоумышленникам избежать обнаружения.
Северокорейские хакеры Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru