Peretas Korea Utara menargetkan peneliti keamanan dengan pintu belakang baru

Pelaku ancaman yang terkait dengan pemerintah Korea Utara telah menargetkan peneliti keamanan dalam kampanye peretasan yang menggunakan teknik baru dan malware dengan harapan mendapatkan pijakan di dalam perusahaan tempat goal bekerja, kata para peneliti.

Para peneliti dari firma keamanan Mandiant mengatakan pada hari Kamis bahwa mereka pertama kali melihat kampanye tersebut Juni lalu saat melacak kampanye phishing yang menargetkan pelanggan yang berbasis di AS di industri teknologi. Peretas dalam kampanye ini berusaha menginfeksi goal dengan tiga keluarga malware baru, yang disebut oleh Mandiant sebagai Touchmove, Sideshow, dan Touchshift. Peretas dalam serangan ini juga mendemonstrasikan kemampuan baru untuk melawan alat deteksi titik akhir saat beroperasi di dalam lingkungan cloud goal.

“Mandiant mencurigai UNC2970 secara khusus menargetkan peneliti keamanan dalam operasi ini,” tulis para peneliti Mandiant.

Tak lama setelah menemukan kampanye tersebut, Mandiant menanggapi berbagai intrusi pada organisasi media AS dan Eropa dengan UNC2970, nama Mandiant untuk aktor ancaman Korea Utara. UNC2970 menggunakan spearphishing dengan tema rekrutmen pekerjaan dalam upaya untuk memikat goal dan mengelabui mereka agar memasang malware baru.

Secara tradisional, UNC2970 menargetkan organisasi dengan electronic mail spearphishing yang bertema perekrutan pekerjaan. Baru-baru ini, grup tersebut telah beralih menggunakan akun LinkedIn palsu milik perekrut yang diklaim. Akun tersebut dibuat dengan hati-hati untuk meniru identitas orang yang sah untuk mengelabui goal dan meningkatkan peluang mereka untuk sukses. Akhirnya, pelaku ancaman mencoba mengalihkan percakapan ke WhatsApp dan, dari sana, menggunakan WhatsApp atau electronic mail untuk mengirimkan panggilan Mandiant pintu belakang Plankwalk, atau keluarga malware lainnya.

Plankwalk atau malware lain yang digunakan terutama dikirimkan melalui makro yang disematkan ke dalam dokumen Microsoft Phrase. Saat dokumen dibuka dan makro diizinkan untuk dijalankan, mesin goal mengunduh dan mengeksekusi muatan berbahaya dari server perintah dan kontrol. Salah satu dokumen yang digunakan terlihat seperti ini:

Server perintah dan kontrol penyerang sebagian besar adalah situs WordPress yang dikompromikan, yang merupakan teknik lain yang dikenal dengan UNC2970. Proses infeksi melibatkan pengiriman file arsip ke goal yang, antara lain, menyertakan versi berbahaya dari aplikasi desktop jarak jauh TightVNC. Dalam postingan tersebut, peneliti Mandiant menjelaskan lebih lanjut prosesnya:

File ZIP yang dikirimkan oleh UNC2970 berisi apa yang menurut korban adalah tes penilaian keterampilan untuk melamar pekerjaan. Pada kenyataannya, ZIP berisi file ISO, yang menyertakan versi trojan dari TightVNC yang dilacak Mandiant sebagai LIDSHIFT. Korban diinstruksikan untuk menjalankan aplikasi TightVNC yang, bersama dengan file lainnya, diberi nama yang sesuai dengan perusahaan yang telah direncanakan oleh korban untuk melakukan penilaian.

Selain berfungsi sebagai penampil TightVNC yang sah, LIDSHIFT berisi beberapa fitur tersembunyi. Yang pertama adalah setelah dieksekusi oleh pengguna, malware akan mengirim suar kembali ke C2 yang di-hardcode; satu-satunya interaksi yang diperlukan dari pengguna adalah peluncuran program. Kurangnya interaksi ini berbeda dari apa yang diamati MSTIC di posting weblog terbaru mereka. Suar C2 awal dari LIDSHIFT berisi nama pengguna dan nama host awal korban.

Kemampuan kedua LIDSHIFT adalah menyuntikkan DLL terenkripsi secara reflektif ke dalam memori. DLL yang disuntikkan adalah plugin Notepad++ trojanized yang berfungsi sebagai pengunduh, yang dilacak Mandiant sebagai LIDSHOT. LIDSHOT disuntikkan segera setelah korban membuka drop down di dalam aplikasi TightVNC Viewer. LIDSHOT memiliki dua fungsi utama: pencacahan sistem dan pengunduhan dan eksekusi kode shell dari C2.

Serangan berlanjut dengan menginstal pintu belakang Plankwalk, yang kemudian dapat menginstal berbagai alat tambahan, termasuk aplikasi titik akhir Microsoft InTune. InTune dapat digunakan untuk mengirimkan konfigurasi ke titik akhir yang terdaftar di layanan Azure Lively Listing organisasi. UNC2970 tampaknya menggunakan aplikasi yang sah untuk mem-bypass perlindungan titik akhir.

“Alat malware yang teridentifikasi menyoroti pengembangan malware yang berkelanjutan dan penyebaran alat baru oleh UNC2970,” tulis para peneliti Mandiant. “Meskipun grup tersebut sebelumnya menargetkan industri pertahanan, media, dan teknologi, penargetan peneliti keamanan menunjukkan perubahan strategi atau perluasan operasinya.”

Sementara penargetan peneliti keamanan mungkin baru untuk UNC2970, pelaku ancaman Korea Utara lainnya telah terlibat dalam aktivitas tersebut setidaknya sejak 2021.

Goal dapat mengurangi kemungkinan terinfeksi dalam kampanye ini dengan menggunakan:

• Otentikasi multi-faktor
• Akun khusus cloud untuk mengakses Azure Lively Listing
• Akun terpisah untuk mengirim electronic mail, menjelajah Net, dan aktivitas serupa dan akun admin khusus untuk fungsi administratif yang sensitif.

Organisasi juga harus mempertimbangkan perlindungan lainnya, termasuk memblokir makro dan menggunakan manajemen identitas istimewa, kebijakan akses bersyarat, dan pembatasan keamanan di Azure AD. Mewajibkan beberapa admin untuk menyetujui transaksi InTune juga disarankan. Daftar lengkap mitigasi termasuk dalam posting Mandiant yang ditautkan di atas.