Hakerzy z Korei Północnej podszywają się pod rekruterów na LinkedIn

Kim Dzong Un chce straszyć świat nie tylko rozwojem regularnej armii, ale także cyfrowych „żołnierzy”, którzy w ostatnim czasie zrobili się niezwykle aktywni. Pod koniec grudnia pisałem o pierwszym ataku typu ransomware, wymierzonym w południowokoreańskich sąsiadów, a dziś okazuje się, że hakerzy z Korei Północnej testują skuteczność precyzyjnie skrojonej kampanii phishingowej, połączonej z nowymi rodzajami złośliwego oprogramowania. Ofiar szukają zaś na… LinkedIn.

Uwaga na fałszywego rekrutera

Badacze z Mandiant – amerykańskiej firmy zajmującej się cyberbezpieczeństwem – poinformowali o wykryciu kampanii phishingowej, wymierzonej w przedsiębiorstwa technologiczne z USA i Europy. Ataki były świetnie przygotowane – hakerzy wyszukiwali na LinkedIn pracowników firmy, którą chcieli zaatakować, a następnie podawali się za rekruterów i oferowali intratne oferty pracy. Wszystko po to, by wgrać na ich urządzenia jedno z trzech złośliwych oprogramowań, które specjaliści z Mandiant określili jako Touchmove, Sideshow i Touchshift.

Za ataki ma być rzekomo odpowiedzialna grupa północnokoreańskich cyberprzestępców, o nazwie UNC2970. Zdobycie zaufania ofiary na LinkedIn było zaledwie początkiem – dalsza droga prowadziła przez WhatsApp i Worda.

Złośliwe oprogramowanie zaszyte w zadaniach rekrutacyjnych

Gdy niczego nieświadomi pracownicy złapali się na szczegółowo spreparowane konta (według Mandiant naśladowały faktycznie istniejących rekruterów), rozmowa przenosiła się na WhatsApp, gdzie hakerzy przesyłali zainfekowane pliki z Worda.

Czytaj dalej poniżej

Podatki.gov.pl zaatakowane przez hakerów. Utrudnienia w działaniu serwisu Piotr Kurek

Atak hakerski na Śląską Kartę Usług Publicznych. Ogromne problemy Błażej Wojciechowski

Otwarcie dokumentu – będącego „zbiorem zadań rekrutacyjnych” – aktywowało makra, rozpoczynając pobieranie plików z serwera, a pośród nich znajduje się aplikacja do zdalnego pulpitu TightVNC.

„Plik ZIP dostarczony przez UNC2970 zawierał coś, co ofiara uważała za test oceny umiejętności do podania o pracę. W rzeczywistości ZIP zawierał plik ISO, przemycający trojanizowaną wersję TightVNC, którą Mandiant określa jako LIDSHIFT. Ofiara została poinstruowana, aby uruchomić aplikację TightVNC, która wraz z innymi plikami została nazwana odpowiednio do firmy, do której aspirowała ofiara”.

Ostatecznie chodzi jednak o zainstalowanie backdoora Plankwalk, który umożliwia następnie wgranie dodatkowych narzędzi, takich jak Microsoft Endpoint InTune, służącego między innymi do dostarczania konfiguracji do endpoint’u zarejestrowanego w Azure Active Directory (chmurowa usługa do zarządzania tożsamością i dostępem). Hakerzy są więc w stanie obejść niektóre zabezpieczenia przy użyciu „legalnych” rozwiązań.

Mandiant poinformował, że podobne sytuacje zaobserwowano już w czerwcu ubiegłego roku, jednak przypadki dotyczyły głównie przemysłu medialnego. Obecnie hakerzy na nowo wzmożyli wysiłki, celując w przedsiębiorstwa technologiczne, zajmujące się bezpieczeństwem. Badacze zalecają stosowanie uwierzytelnienia wielopoziomowego oraz utworzenie dwóch odmiennych kont – jedno do zarządzania skrzynką mailową i przeglądania treści w sieci, a drugie do wykonywania czynności stricte administracyjnych.

Stock image from Depositphotos

Źródło