Los expertos de Mandiant notaron que los piratas informáticos norcoreanos centraron su atención y sus ataques en los especialistas en seguridad de la información.. Los atacantes intentan infectar a los investigadores con malware con la esperanza de infiltrarse en las redes de las empresas para las que trabajan los objetivos..
Déjame recordarte que también escribimos eso. Cerca de 50% de los líderes en ciberseguridad cambiarán de trabajo 2025, y también eso Microsoft acusó a Rusia y Corea del Norte de ataques a empresas farmacéuticas.
Los medios también escribieron que FBI Enlaces norcoreanos Lázaro Hackers para Armonía Hackear y $100 Millones de robo.
mandante lo dice descubrió por primera vez la campaña de piratería norcoreana en junio 2022 mientras rastreaba una campaña de phishing dirigida a un cliente de tecnología de EE. UU.. Luego, los piratas informáticos intentaron infectar al objetivo con tres nuevas familias de malware. (movimiento táctil, Atracción secundaria y Cambio táctil).
Poco después, Hubo una serie de ataques a los medios estadounidenses y europeos por parte del gobierno. UNC2970 grupo, que Mandiant vincula con Corea del Norte. Por estos ataques, UNC2970 utilizó correos electrónicos de phishing disfrazados de ofertas de trabajo en un intento de obligar a sus objetivos a instalar el malware..
Los investigadores dicen que UNC2970 cambió recientemente de táctica y ahora pasó del uso de correos electrónicos de phishing al uso de mensajes falsos. LinkedIn cuentas supuestamente propiedad de RR.HH.. Estas cuentas imitan cuidadosamente las identidades de personas reales para engañar a las víctimas y aumentar las posibilidades de que el ataque tenga éxito..
Tras contactar con la víctima y hacerle una “interesante oferta de trabajo”, los atacantes intentan transferir la conversación a WhatsApp, y luego usar el mensajero o el correo electrónico para entregar la puerta trasera, que Mandiant llamó paseo en plancha, así como otras familias de malware.
Plankwalk y otros programas maliciosos del grupo utilizan principalmente macros en Microsoft Word. Cuando el documento está abierto y las macros están habilitadas, la máquina de destino descarga y ejecuta la carga útil maliciosa de los piratas informáticos’ servidores (mayormente pirateado WordPress sitios). Como resultado, se entrega un archivo ZIP a la máquina de destino, cual, entre otras cosas, contiene una versión maliciosa del apretadovnc aplicación de escritorio remoto que Mandiant monitorea bajo el nombre CAMBIO DE TAPA.
Uno de los documentos utilizados para los ataques se puede ver a continuación., donde los hackers se hacen pasar por New York Times.
TightVNC no solo actúa como una herramienta legítima de acceso a escritorio remoto, LIDSHIFT también contiene muchas funciones ocultas. La primera es que una vez ejecutada por el usuario, el malware envía una baliza a su código C codificado&servidor C. En este caso, la única acción que se requirió por parte del usuario fue el inicio del programa en sí. Esta baliza LIDSHIFT contiene el nombre de usuario y el nombre de host originales de la víctima..
La segunda característica de LIDSHIFT es inyectar una DLL cifrada en la memoria.. DLL es un complemento troyanizado de Notepad++ que funciona como un cargador y se rastrea con el nombre TAPA. LIDSHOT se inyecta tan pronto como la víctima abre el menú desplegable en la aplicación TightVNC Viewer.
LIDSHOT realiza dos funciones principales: enumeración, así como descargar y ejecutar shellcode desde el servidor de administración.dice el informe Mandiant.
Como resultado, Plankwalk allana el camino para introducir herramientas adicionales en la máquina de destino, incluido:
- TOQUE es un cuentagotas que descarga otro malware, que van desde registradores de teclas y utilidades de captura de pantalla hasta puertas traseras con todas las funciones;
- TOQUE TOQUE – toma capturas de pantalla cada tres segundos;
- TECLA TÁCTIL – un registrador de teclas que captura las pulsaciones de teclas e intercepta datos del portapapeles;
- TIRO DE GANCHO es una herramienta de tunelización que se conecta a través de TCP para comunicarse con el servidor de administración del servidor;
- TOCARMOVER – un cargador diseñado para descifrar y ejecutar una carga útil;
- SIDESHOW es una puerta trasera AC/C++ que ejecuta comandos arbitrarios y se comunica a través de solicitudes HTTP POST con su servidor de comando y control..
También se informa que UNC2970 usó Microsoft Intune para administrar puntos finales y descargar un script de PowerShell que contiene una carga útil en forma de CHAPARRÓN puerta trasera escrita en C. Se supone que UNC2970 utiliza esta aplicación legítima para eludir la protección de terminales.