Los actores de amenazas vinculados al gobierno de Corea del Norte se han dirigido a los investigadores de seguridad en una campaña de piratería que utiliza nuevas técnicas y malware con la esperanza de hacerse un hueco dentro de las empresas para las que trabajan los objetivos, dijeron los investigadores.
Investigadores de la firma de seguridad Mandiant dijeron el jueves que vieron la campaña por primera vez en junio pasado mientras rastreaban una campaña de phishing dirigida a un cliente estadounidense en el sector tecnológico. Los piratas informáticos de esta campaña intentaron infectar objetivos con tres nuevas familias de malware, denominadas por Mandiant como Touchmove, Sideshow y Touchshift. Los atacantes en estos ataques también demostraron nuevas capacidades para contrarrestar las herramientas de detección de puntos finales al operar dentro de los entornos de nube de los objetivos.
“Mandiant sospecha que UNC2970 se dirigió específicamente a los investigadores de seguridad en esta operación”, escribieron los investigadores de Mandiant.
Poco después de descubrir la campaña, Mandiant respondió a múltiples intrusiones en organizaciones de medios estadounidenses y europeas por parte de UNC2970, el nombre de Mandiant para el actor de amenazas de Corea del Norte. UNC2970 usó spearphishing con un tema de reclutamiento laboral en un intento de atraer a los objetivos para que instalaran el nuevo malware.
Tradicionalmente, UNC2970 se ha dirigido a organizaciones con correos electrónicos de spearphishing que tienen temas de reclutamiento laboral. Más recientemente, el grupo ha pasado a utilizar cuentas falsas de LinkedIn que pertenecen a presuntos reclutadores. Las cuentas están cuidadosamente diseñadas para hacerse pasar por las identidades de personas legítimas para engañar a los objetivos y aumentar sus posibilidades de éxito. Eventualmente, el actor de amenazas intenta mover las conversaciones a WhatsApp y, desde allí, usar WhatsApp o el correo electrónico para entregar una puerta trasera llamada Mandiant Plankwalk u otras familias de malware.
Plankwalk u otro malware utilizado se entrega principalmente a través de macros incrustadas en documentos de Microsoft Word. Cuando se abren los documentos y se permite que se ejecuten las macros, la máquina de destino descarga y ejecuta una carga útil maliciosa desde un servidor de comando y control. Uno de los documentos utilizados se veía así:
Los servidores de comando y control de los atacantes son principalmente sitios de WordPress comprometidos, que es otra técnica por la que se conoce a UNC2970. El proceso de infección implica enviar un archivo de almacenamiento al destino que, entre otras cosas, incluye una versión maliciosa de la aplicación de escritorio remoto TightVNC. En la publicación, los investigadores de Mandiant describieron con más detalle el proceso:
El archivo ZIP entregado por UNC2970 contenía lo que la víctima pensó que era una prueba de evaluación de habilidades para una solicitud de empleo. En realidad, el ZIP contenía un archivo ISO, que incluía una versión troyana de TightVNC que Mandiant rastrea como LIDSHIFT. Se le indicó a la víctima que ejecutara la aplicación TightVNC que, junto con los otros archivos, lleva el nombre de la empresa para la que la víctima planeaba evaluar.
Además de funcionar como un visor TightVNC legítimo, LIDSHIFT contenía múltiples funciones ocultas. La primera era que, tras la ejecución por parte del usuario, el malware enviaba una baliza a su C2 codificado; la única interacción del usuario necesaria era iniciar el programa. Esta falta de interacción difiere de lo que MSTIC señaló en su reciente publicación de blog. La baliza C2 inicial de LIDSHIFT contiene el nombre de usuario y el nombre de host iniciales de la víctima.
La segunda capacidad de LIDSHIFT es poner reflexivamente una DLL cifrada en la memoria. La DLL inyectada es un complemento troyano de Notepad++ que funciona como un descargador, que Mandiant rastrea como LIDSHOT. LIDSHOT se inyecta tan pronto como la víctima abre el menú desplegable dentro de la aplicación TightVNC Viewer. LIDSHOT tiene dos funciones principales: enumeración del sistema y descarga y ejecución de shellcode desde el C2.
El ataque continúa con la instalación de la puerta trasera Plankwalk, que luego puede instalar una variedad de herramientas adicionales, incluida la aplicación de punto final Microsoft InTune. InTune se puede usar para proporcionar configuraciones a puntos finales registrados en Azure Active Directory de una organización. Parece que UNC2970 está usando una aplicación legítima para eludir las protecciones de punto final.
“Las herramientas de malware identificadas destacan el continuo desarrollo de malware de UNC2970 y la implementación de nuevas herramientas”, escribieron los investigadores de Mandiant. “Aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnología, la orientación de los investigadores de seguridad sugiere un cambio de estrategia o una expansión de sus operaciones”.
Si bien la orientación de los investigadores de seguridad puede ser nueva para UNC2970, otros actores de amenazas de Corea del Norte se han involucrado en la actividad desde al menos 2021.
Los objetivos pueden reducir las posibilidades de infectarse en estas campañas mediante el uso de:
- Autenticación multifactor
- Cuenta solo en la nube para acceder a Azure Active Directory
- Una cuenta separada para enviar correos electrónicos, navegar por la web y tareas similares, y una cuenta de administrador dedicada para funciones administrativas confidenciales.
Las organizaciones también deben considerar otras protecciones, incluido el bloqueo de macros y el uso de administración de identidades privilegiadas, políticas de acceso condicional y restricciones de seguridad en Azure AD. También le recomendamos que haga que varios administradores aprueben las transacciones de InTune. La lista completa de mitigaciones se incluye en la publicación de Mandiant vinculada anteriormente.