Hakerzy podszywają się pod prawdziwych rekruterów i zachęcają ofiarę do pobrania zainfekowanego pliku z zadaniami rekrutacyjnymi.
Hakerzy z Korei Północnej podszywają się pod rekruterów na LinkedIn
Kim Dzong Un chce straszyć świat nie tylko rozwojem regularnej armii, ale także cyfrowych „żołnierzy”, którzy w ostatnim czasie zrobili się niezwykle aktywni. Pod koniec grudnia pisałem o pierwszym ataku typu ransomware, wymierzonym w południowokoreańskich sąsiadów, a dziś okazuje się, że hakerzy z Korei Północnej testują skuteczność precyzyjnie skrojonej kampanii phishingowej, połączonej z nowymi rodzajami złośliwego oprogramowania. Ofiar szukają zaś na… LinkedIn.
Uwaga na fałszywego rekrutera
Badacze z Mandiant – amerykańskiej firmy zajmującej się cyberbezpieczeństwem – poinformowali o wykryciu kampanii phishingowej, wymierzonej w przedsiębiorstwa technologiczne z USA i Europy. Ataki były świetnie przygotowane – hakerzy wyszukiwali na LinkedIn pracowników firmy, którą chcieli zaatakować, a następnie podawali się za rekruterów i oferowali intratne oferty pracy. Wszystko po to, by wgrać na ich urządzenia jedno z trzech złośliwych oprogramowań, które specjaliści z Mandiant określili jako Touchmove, Sideshow i Touchshift.
Za ataki ma być rzekomo odpowiedzialna grupa północnokoreańskich cyberprzestępców, o nazwie UNC2970. Zdobycie zaufania ofiary na LinkedIn było zaledwie początkiem – dalsza droga prowadziła przez WhatsApp i Worda.
Złośliwe oprogramowanie zaszyte w zadaniach rekrutacyjnych
Gdy niczego nieświadomi pracownicy złapali się na szczegółowo spreparowane konta (według Mandiant naśladowały faktycznie istniejących rekruterów), rozmowa przenosiła się na WhatsApp, gdzie hakerzy przesyłali zainfekowane pliki z Worda.
Otwarcie dokumentu – będącego „zbiorem zadań rekrutacyjnych” – aktywowało makra, rozpoczynając pobieranie plików z serwera, a pośród nich znajduje się aplikacja do zdalnego pulpitu TightVNC.
„Plik ZIP dostarczony przez UNC2970 zawierał coś, co ofiara uważała za test oceny umiejętności do podania o pracę. W rzeczywistości ZIP zawierał plik ISO, przemycający trojanizowaną wersję TightVNC, którą Mandiant określa jako LIDSHIFT. Ofiara została poinstruowana, aby uruchomić aplikację TightVNC, która wraz z innymi plikami została nazwana odpowiednio do firmy, do której aspirowała ofiara”.
Ostatecznie chodzi jednak o zainstalowanie backdoora Plankwalk, który umożliwia następnie wgranie dodatkowych narzędzi, takich jak Microsoft Endpoint InTune, służącego między innymi do dostarczania konfiguracji do endpoint’u zarejestrowanego w Azure Active Directory (chmurowa usługa do zarządzania tożsamością i dostępem). Hakerzy są więc w stanie obejść niektóre zabezpieczenia przy użyciu „legalnych” rozwiązań.
Mandiant poinformował, że podobne sytuacje zaobserwowano już w czerwcu ubiegłego roku, jednak przypadki dotyczyły głównie przemysłu medialnego. Obecnie hakerzy na nowo wzmożyli wysiłki, celując w przedsiębiorstwa technologiczne, zajmujące się bezpieczeństwem. Badacze zalecają stosowanie uwierzytelnienia wielopoziomowego oraz utworzenie dwóch odmiennych kont – jedno do zarządzania skrzynką mailową i przeglądania treści w sieci, a drugie do wykonywania czynności stricte administracyjnych.
Stock image from Depositphotos
Źródło
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu