Северокорейские хакеры UNC2970 разработали беспрецедентный модульный бэкдор с обширным функционалом

В последнем отчёте компании Mandiant было выявлено, что северокорейская шпионская группа, отслеживаемая под идентификатором UNC2970, с июня 2022 года использует ранее незадокументированные семейства вредоносных программ в рамках целевой фишинговой кампании, нацеленной на СМИ и технологические организации в Америке и Европе.

Mandiant заявила, что кластер угроз «многократно пересекается» с длительной операцией, получившей название «Dream Job» («Работа мечты»). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.

Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть LinkedIn . Выбранный метод социальной инженерии подразумевает использование «хорошо разработанных и профессионально курируемых» поддельных учётных записей, с помощью которых злоумышленники выдают себя за рекрутеров. Далее разговор переключается в WhatsApp, после чего жертве под видом должностной инструкции доставляется фишинговая полезная нагрузка .

Создание плацдарма в скомпрометированных средах достигается с помощью бэкдора на основе C++, известного как PLANKWALK, который затем прокладывает путь для распространения дополнительных инструментов, таких как:

• TOUCHHIFT — дроппер вредоносных программ, загружающий как кейлоггеры и утилиты для создания скриншотов, так и полнофункциональные бэкдоры.
• TOUCHSHOT — программа, которая делает снимок экрана каждые три секунды.
• TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные из буфера обмена.
• HOOKSHOT — инструмент туннелирования, который подключается через TCP для связи с C2-сервером.
• TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине.
• SIDESHOW — бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим C2-сервером.

Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.

«Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970», — заявили специалисты Mandiant.