Un gruppo APT legato alla Corea del Nord è stato osservato in tentativi di phishing a sfondo lavorativo prendendo di mira potenziali vittime nei settori dell’energia e aerospaziale e infettarle con una backdoor non ancora ben documentata denominata MISTPEN.
Il cluster di attività viene monitorato da Mandiant, di proprietà di Google, l’APT si fa chiamare UNC2970 , che secondo l’azienda si sovrappone ad un’altro noto come TEMP.Hermit , noto anche Lazarus o Diamond Sleet (in precedenza Zinc).
L’attore della minaccia ha una storia di attacchi a istituzioni governative, di difesa, di telecomunicazioni e finanziarie in tutto il mondo almeno dal 2013 al fine di raccogliere informazioni strategiche che promuovano gli interessi nordcoreani. È supportato dal governo esattamente dal Reconnaissance General Bureau (RGB).
La società di intelligence sulle minacce informatiche ha affermato di aver osservato che l’UNC2970 ha individuato un’attivita’ maggiore proveniente dagli Stati Uniti, Regno Unito, Paesi Bassi, Cipro, Svezia, Germania, Singapore, Hong Kong e Australia.
UNC2970 prende di mira le vittime fingendosi un recruiter con un’allettante offerta di lavoro per importanti aziende del settore della potenziale vittima, si legge in una nuova analisi, aggiungendo che copia e modifica le legittime offerte di lavoro in base ai profili presi di mira.
Inoltre, le descrizioni di lavoro scelte hanno come target dipendenti di livello senior/manageriale. Ciò suggerisce che l’attore della minaccia mira ad accedere a informazioni sensibili e riservate che sono in genere riservate a dipendenti di livello superiore.”
L’attivitàcriminale, nota anche come Dream Job, prevede l’uso di esche di spear-phishing per interagire con le vittime tramite e-mail e WhatsApp nel tentativo di creare un rapporto di fiducia, prima di inviare un file di archivio ZIP dannoso contenente una finta descrizione di lavoro.
il file PDF incluso può essere aperto solo con una versione alterata di un’applicazione legittima per la lettura di PDF chiamata Sumatra PDF, inclusa anch’essa nell’archivio per distribuire il MISTPEN tramite un launcher denominato BURNBOOK.
Vale la pena notare che questo non implica un attacco alla supply chain né c’è una vulnerabilità sfruttata nel software datato. Piuttosto, si è scoperto che l’attacco impiega una vecchia versione di Sumatra PDF che è stata riadattata per attivare la catena infettiva.
Si tratta di un metodi datati, adottati dal gruppo di hacker già nel 2022; sia Mandiant che Microsoft segnalarono l’uso di un’ampia gamma di software open source, tra cui PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e il software di installazione muPDF/Subliminal Recording per questi attacchi.
Si ritiene che gli autori della minaccia diano istruzioni alle vittime di come aprire il file PDF utilizzando il programma di visualizzazione PDF allegato, per innescare l’esecuzione di un file DLL dannoso, un launcher C/C++ come detto denominato BURNBOOK.
Questo file è un dropper per una DLL incorporata, ‘wtsapi32.dll‘, che viene tracciata come TEARPAGE e utilizzata per eseguire la backdoor MISTPEN dopo il riavvio del sistema. hanno affermato i ricercatori di Mandiant.
MISTPEN è una versione trojanizzata di un plugin Notepad++ , la libreria binhex.dll è il vettore che contiene la backdoor.
TEARPAGE, è un loader scritto in C incorporato in BURNBOOK, ed è responsabile della decifratura e dell’avvio di MISTPEN. MISTPEN è equipaggiato per scaricare ed eseguire file Portable Executable (PE) recuperati da un server di command and control (C2). Comunica tramite HTTP con URL di Microsoft Graph.
Mandiant ha anche affermato di aver scoperto vecchi artefatti BURNBOOK e MISTPEN, suggerendo che vengono migliorati in modo iterativo per aggiungere più capacità e consentire loro di passare inosservati agli antimalware attraverso tecniche di obfuscation. I primi campioni MISTPEN sono stati scoperti anche utilizzando siti Web WordPress compromessi.
Nel tempo, l’autore della minaccia ha migliorato il proprio malware implementando nuove funzionalità più sicure aggiungendo un controllo della connettività di rete per ostacolare l’analisi dei campioni, hanno affermato i ricercatori.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ