Um grupo de ciberespionagem ligado à Coreia do Norte foi descoberto usando práticas de phishing para identificar vítimas potenciais nos setores energético e aeroespacial e infectá-las através de um backdoor anteriormente não documentado conhecido como MISPPEN.
O grupo de trabalho é seguido pela Mandiant, de propriedade do Google, sob o apelido UNC2970que se sobrepõe ao grupo de ameaças conhecido como TEMP.Hermit, também amplamente conhecido como Grupo Lazarus ou Diamond Sleet (anteriormente Zinc).
O ator da ameaça tem um histórico de atacar instituições governamentais, de defesa, de comunicações e financeiras em todo o mundo desde pelo menos 2013 para reunir inteligência estratégica que promova os interesses da Coreia do Norte. É afiliado ao Reconnaissance General Bureau (RGB).
A empresa de inteligência de ameaças disse ter visto o UNC2970 infectando várias organizações nos EUA, Reino Unido, Holanda, Chipre, Suécia, Alemanha, Cingapura, Hong Kong e Austrália.
“O UNC2970 tem como alvo as vítimas sob o disfarce de vagas de emprego, disfarçadas de recrutadores de empresas proeminentes”, afirma numa nova análise, acrescentando cópias e ajustando as descrições de cargos de acordo com os seus perfis.
“Além disso, as descrições de cargos selecionadas têm como alvo funcionários de alto nível/gerentes. Isso sugere que o denunciante pretende acessar informações sensíveis e confidenciais normalmente reservadas a funcionários de alto nível.”
A cadeia de ataques, também conhecida como Operação Dream Job, envolve o uso de armadilhas de phishing para interagir com as vítimas via e-mail e WhatsApp na tentativa de construir confiança, antes de enviar um arquivo ZIP malicioso disfarçado de descrição de trabalho.
Em uma reviravolta interessante, o arquivo PDF de descrição só pode ser aberto com uma versão trojanizada do aplicativo leitor de PDF oficial chamado Sumatra PDF, que está incluído no arquivo a ser entregue pela MISPEN usando um iniciador chamado BURNBOOK.
Deve-se notar que isso não significa um ataque à cadeia de abastecimento e não há vulnerabilidade no software. Em vez disso, descobriu-se que este ataque utiliza uma versão antiga do Sumatra PDF que foi reaproveitada para ativar a cadeia de infecção.
Este é um método experimentado e testado adotado pelo grupo de hackers desde 2022, quando Mandiant e Microsoft destacaram o uso de uma ampla gama de software de código aberto, incluindo PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e software muPDF/Subliminal Recording para isso. ataque.
Acredita-se que os agentes da ameaça podem ter instruído as vítimas a abrir um arquivo PDF usando um visualizador de PDF armado para executar a execução de um arquivo DLL malicioso, um iniciador C/C++ chamado BURNBOOK.
“Este arquivo é um dropper de DLL incorporado, ‘wtsapi32.dll’, que é rastreado como TEARPAGE e usado para executar o backdoor MISTPEN após a inicialização do sistema”, disseram os pesquisadores da Mandiant. “MISTPEN é uma versão trojanizada do plugin oficial do Notepad++, binhex.dll, que contém um backdoor.”
TEARPAGE, o carregador embutido no BURNBOOK, é responsável por descriptografar e iniciar o MISPPEN. Uma instalação leve escrita em C, o MISPPEN está equipado para baixar e executar arquivos executáveis físicos (PE) recuperados de um servidor de comando e controle (C2). Ele se comunica por HTTP com as seguintes URLs do Microsoft Graph.
Mandiant também afirmou ter encontrado artefatos antigos do BURNBOOK e MISPPEN, sugerindo que eles estão sendo atualizados iterativamente para adicionar mais recursos e permitir que voem sob o radar. As primeiras amostras do MISPPEN também usavam sites WordPress vulneráveis como domínios C2.
“O agente da ameaça melhorou seu malware ao longo do tempo, usando novos recursos e adicionando uma verificação de conexão de rede para evitar a análise de amostras”, disseram os pesquisadores.
