18 de septiembre de 2024Ravie Lakshmanan Ciberespionaje/Malware
Un grupo de ciberespionaje vinculado a Corea del Norte apunta a víctimas potenciales en la industria energética y aeroespacial mediante estafas de phishing con temas ocupacionales, abriendo una puerta trasera previamente indocumentada llamada MISTPEN que se confirmó que estaba infectada.
Mandiant, una empresa de Google, rastrea al grupo con el nombre UNC2970, y la empresa dice que se superpone con un grupo de amenazas conocido como TEMP.Hermit. Este grupo también se conoce comúnmente como Grupo Lazarus o Diamond Sleet (anteriormente conocido como Zinc).
Este actor de amenazas tiene un historial de atacar instituciones gubernamentales, de defensa, de comunicaciones y financieras en todo el mundo desde al menos 2013, reuniendo inteligencia estratégica para promover los intereses de Corea del Norte. Este actor está afiliado a la Oficina General de Reconocimiento (RGB).
La firma de inteligencia de amenazas dijo que observó UNC2970 apuntando a varias organizaciones ubicadas en Estados Unidos, Reino Unido, Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia.
“UNC2970 apunta a las víctimas haciéndose pasar por un reclutador de una empresa conocida y utilizando ofertas de trabajo”, dice el nuevo análisis, y agrega que copia y altera las descripciones de trabajo para adaptarse al perfil del objetivo.
“Además, las descripciones de trabajo seleccionadas están dirigidas a empleados de alto nivel directivo, lo que dificulta que los actores de amenazas obtengan acceso a información sensible y confidencial que normalmente está restringida a los empleados de alta dirección”.
También conocida como “Operación Dream Job”, esta serie de ataques utiliza un cebo de phishing para comunicarse con las víctimas por correo electrónico y WhatsApp para generar confianza y luego archivar un archivo ZIP malicioso disfrazado de envío de una lista de trabajos.
Curiosamente, el archivo PDF de instrucciones sólo se puede abrir con una versión troyanizada de una aplicación de lectura de PDF legítima llamada Sumatra PDF, que se incluye en el archivo que distribuye MISTPEN a través de un iniciador llamado BURNBOOK.
Es importante señalar que esto no implica un ataque a la cadena de suministro ni existe una vulnerabilidad en el software. Más bien, se descubrió que el ataque utilizaba una versión anterior de Sumatra PDF que fue reutilizada para activar la cadena de infección.
Esta es una técnica probada que los grupos de hackers han estado empleando desde 2022, y tanto Mandiant como Microsoft confían en una amplia gama de fuentes abiertas para estos ataques, incluidos PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y los instaladores de software muPDF/Subliminal Recording. Se enfatiza que se utiliza software fuente.
El actor de la amenaza indica a la víctima que abra el archivo PDF utilizando el programa de visualización de PDF armado incluido y active la ejecución de un archivo DLL malicioso, un iniciador C/C++ llamado BURNBOOK que se considera muy probable.
“Este archivo es un dropper para una DLL incorporada 'wtsapi32.dll' que se rastrea como TEARPAGE y se utiliza para ejecutar la puerta trasera MISTPEN después de reiniciar el sistema”, dijeron los investigadores de Mandiant. “MISTPEN es una versión troyana del complemento legítimo Notepad++ binhex.dll que contiene una puerta trasera”.
TEARPAGE, un cargador integrado en BURNBOOK, es responsable de descifrar e iniciar MISTPEN. MISTPEN, un implante liviano escrito en C, está equipado para descargar y ejecutar ejecutables portátiles (PE) obtenidos de servidores de comando y control (C2). Comuníquese a través de HTTP con la siguiente URL de Microsoft Graph:
Mandiant también afirma que ha descubierto antiguos artefactos BURNBOOK y MISTPEN, lo que sugiere que se han mejorado repetidamente para agregar funcionalidad y pasar desapercibidos. También se descubrieron las primeras muestras de MISTPEN utilizando sitios web de WordPress comprometidos como dominios C2.
“Los actores de amenazas han mejorado su malware con el tiempo implementando nuevas características y agregando controles de conectividad de red que impiden el análisis de muestras”, dijeron los investigadores.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/north-korean-hackers-target-energy-and.html
