Доставка на целевые компьютеры осуществлялась в рамках кампании «работа мечты» с использованием социальной инженерии.
В последнем отчёте компании Mandiant было выявлено, что северокорейская шпионская группа, отслеживаемая под идентификатором UNC2970, с июня 2022 года использует ранее незадокументированные семейства вредоносных программ в рамках целевой фишинговой кампании, нацеленной на СМИ и технологические организации в Америке и Европе.
Mandiant заявила, что кластер угроз «многократно пересекается» с длительной операцией, получившей название «Dream Job» («Работа мечты»). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.
Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть LinkedIn. Выбранный метод социальной инженерии подразумевает использование «хорошо разработанных и профессионально курируемых» поддельных учётных записей, с помощью которых злоумышленники выдают себя за рекрутеров. Далее разговор переключается в WhatsApp, после чего жертве под видом должностной инструкции доставляется фишинговая полезная нагрузка.
Создание плацдарма в скомпрометированных средах достигается с помощью бэкдора на основе C++, известного как PLANKWALK, который затем прокладывает путь для распространения дополнительных инструментов, таких как:
Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.
«Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970», — заявили специалисты Mandiant.