Mandiant: хакеры Lazarus заражают ИБ-специалистов с помощью ранее неизвестных бэкдоров

Специалисты из Mandiant заявили , что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

Злоумышленники используют социальную инженерию, чтобы убедить свои цели связаться с ними через WhatsApp, где они доставляют на устройства жертв полезную нагрузку вредоносного ПО «PlankWalk», бэкдор на C++, который позволяет хакерам закрепиться в корпоративной среде цели.

Эксперты отслеживают кампанию с июня 2022 года и приписали её группе, которую они отслеживают как «UNC2970». Кроме того, злоумышленники используют ранее неизвестное вредоносное ПО с названиями «TOUCHMOVE», «SIDESHOW» и «TOUCHHIFT».

Цепочка атак начинается с того, что хакеры связываются с целями в LinkedIn, выдавая себя за рекрутеров. Затем они убеждают жертв перейти в WhatsApp, а там отправляют документ Word со встроенными вредоносными макросами. В некоторых случаях эти документы Word стилизованы под конкретные должности.

Документ-приманка, имитирующая предложение The New York Times

Макросы документа Word выполняют атаку Remote Template Injection (удаленная инъекция шаблона) для получения заражённой версии «TightVNC» (программа для удаленного подключения к рабочему столу) со скомпрометированных сайтов WordPress, которые служат серверами управления и контроля (C2, C&C) злоумышленника.

Троянизированная версия ПО TightVNC является бэкдором «LidShift», который после выполнения использует метод Reflective DLL Injection для загрузки зашифрованной DLL-библиотеки троянизированного плагина Notepad++ в память системы. Загруженный файл представляет собой загрузчик вредоносного ПО под названием «LidShot», который выполняет перечисление системы и развертывает полезную нагрузку бэкдора «PlankWalk».

На этапе пост-эксплуатации хакеры используют новый специальный дроппер под названием «TOUCHHIFT», который маскируется под двоичный файл Windows (mscoree.dll или netplwix.dll).

Затем «TouchShift» загружает:

• утилиту для создания скриншотов «TouchShot»;
• кейлоггер «TouchKey»;
• программу для создания туннелей «HookShot»;
• загрузчик «TouchMove»;
• бэкдор «SideShow».

Самым примечательным из списка является бэкдор «SideShow», который поддерживает 49 команд, позволяющие злоумышленнику, среди прочего:

• выполнять произвольный код на устройстве;
• изменять реестр;
• управлять настройками брандмауэра;
• добавлять новые запланированные задачи;
• доставлять дополнительные полезные нагрузки.

Специалисты Mandiant также обнаружили, что в последней кампании группировка UNC2970 использовала метод атаки BYOVD (Bring Your Own Vulnerable Driver), чтобы доставить дроппер «LightShift», который загружает обфусцированную полезную нагрузку под названием «LightShow».

LightShow использует уязвимый драйвер ASUS (Driver7.sys) для выполнения произвольных операций чтения и записи в памяти ядра, чтобы исправить подпрограммы ядра, используемых EDR-решениями, позволяя злоумышленникам избежать обнаружения.

Северокорейские хакеры ранее преследовали ИБ-специалистов , связываясь с ними в соцсетях через поддельные профили исследователей безопасности, а затем отправляли жертвам вредоносные проекты Visual Studio и MHTML-файлы, которые использовали 0-day уязвимость Internet Explorer. Эти файлы использовались для развертывания вредоносных программ на устройствах для получения удаленного доступа к компьютерам.