قراصنة كوريا الشمالية يستهدفون الباحثين الأمنيين بباب خلفي جديد

قال باحثون إن الجهات الفاعلة في مجال التهديد المرتبطة بالحكومة الكورية الشمالية كانت تستهدف الباحثين الأمنيين في حملة قرصنة تستخدم تقنيات وبرامج ضارة جديدة على أمل الحصول على موطئ قدم داخل الشركات التي تعمل الأهداف من أجلها.

قال باحثون من شركة Mandiant للأمن يوم الخميس إنهم اكتشفوا الحملة لأول مرة في يونيو الماضي أثناء تتبع حملة تصيد استهدفت عميلًا مقيمًا في الولايات المتحدة في صناعة التكنولوجيا. حاول المتسللون في هذه الحملة إصابة الأهداف بثلاث عائلات جديدة من البرامج الضارة ، أطلق عليها Mandiant اسم Touchmove و Sideshow و Touchshift. أظهر المتسللون في هذه الهجمات أيضًا قدرات جديدة لمواجهة أدوات اكتشاف نقطة النهاية أثناء العمل داخل البيئات السحابية للأهداف.

استهدف مانديانت المشتبه به UNC2970 الباحثين الأمنيين على وجه التحديد في هذه العملية.

بعد وقت قصير من اكتشاف الحملة ، رد مانديانت على العديد من التدخلات على المؤسسات الإعلامية الأمريكية والأوروبية من قبل UNC2970 ، وهو اسم مانديانت لممثل التهديد الكوري الشمالي. استخدم UNC2970 الرمح مع موضوع التوظيف في محاولة لجذب الأهداف وخداعهم لتثبيت البرامج الضارة الجديدة.

تقليديا ، استهدفت UNC2970 المنظمات برسائل البريد الإلكتروني التي تحتوي على مواضيع توظيف وظيفية. في الآونة الأخيرة ، تحولت المجموعة إلى استخدام حسابات LinkedIn المزيفة التي تنتمي إلى مجندين مزعومين. تم إعداد الحسابات بعناية لتقليد هويات الأشخاص الشرعيين لخداع الأهداف وتعزيز فرص نجاحهم. في النهاية ، يحاول ممثل التهديد تحويل المحادثات إلى WhatsApp ، ومن هناك ، استخدم إما WhatsApp أو البريد الإلكتروني لتوصيل مكالمات Mandiant الخلفية بلانك ووك ، أو عائلات البرامج الضارة الأخرى.

يتم تسليم Plankwalk أو البرامج الضارة الأخرى المستخدمة بشكل أساسي من خلال وحدات الماكرو المضمنة في مستندات Microsoft Word. عند فتح المستندات والسماح بتشغيل وحدات الماكرو ، يقوم جهاز الهدف بتنزيل حمولة ضارة وتنفيذها من خادم الأوامر والتحكم. بدت إحدى المستندات المستخدمة كما يلي:

خوادم القيادة والتحكم للمهاجمين هي مواقع WordPress التي تم اختراقها بشكل أساسي ، وهي تقنية أخرى معروفة لـ UNC2970. تتضمن عملية الإصابة إرسال ملف أرشيف إلى الهدف يتضمن ، من بين أشياء أخرى ، إصدارًا ضارًا من تطبيق سطح المكتب البعيد TightVNC. في المنشور ، وصف باحثو Mandiant العملية:

احتوى ملف ZIP الذي تم تسليمه بواسطة UNC2970 على ما اعتقدت الضحية أنه اختبار لتقييم المهارات لتطبيق وظيفة. في الواقع ، احتوى ملف ZIP على ملف ISO ، والذي تضمن نسخة طروادة من TightVNC الذي يتتبعه Mandiant كـ LIDSHIFT. تم توجيه الضحية لتشغيل تطبيق TightVNC والذي ، إلى جانب الملفات الأخرى ، تم تسميته بشكل مناسب للشركة التي خططت الضحية لإجراء التقييم لها.

بالإضافة إلى العمل كمشاهد TightVNC شرعي ، احتوى LIDSHIFT على العديد من الميزات المخفية. الأول هو أنه عند التنفيذ من قبل المستخدم ، فإن البرامج الضارة سترسل منارة مرة أخرى إلى C2 المشفر ؛ كان التفاعل الوحيد المطلوب من المستخدم هو إطلاق البرنامج. يختلف هذا النقص في التفاعل عما لاحظته MSTIC في منشور المدونة الأخير. تحتوي إشارة C2 الأولية من LIDSHIFT على اسم المستخدم واسم المضيف الأولي للضحية.

القدرة الثانية لـ LIDSHIFT هي حقن ملف DLL مشفر بشكل انعكاسي في الذاكرة. DLL المحقون عبارة عن مكون إضافي لبرنامج Notepad ++ ذي طروادة يعمل كمنزل ، والذي يتتبعه Mandiant على أنه LIDSHOT. يتم حقن LIDSHOT بمجرد أن تفتح الضحية القائمة المنسدلة داخل تطبيق TightVNC Viewer. LIDSHOT له وظيفتان أساسيتان: تعداد النظام وتنزيل وتنفيذ كود القشرة من C2.

يستمر الهجوم لتثبيت Plankwalk backdoor ، والذي يمكنه بعد ذلك تثبيت مجموعة واسعة من الأدوات الإضافية ، بما في ذلك تطبيق Microsoft endpoint InTune. يمكن استخدام InTune لتقديم تكوينات لنقاط النهاية المسجلة في خدمة Azure Active Directory للمؤسسة. يبدو أن UNC2970 يستخدم التطبيق الشرعي لتجاوز حماية نقطة النهاية.

كتب باحثو مانديانت: “تسلط أدوات البرامج الضارة التي تم تحديدها الضوء على استمرار تطوير البرامج الضارة ونشر أدوات جديدة بواسطة UNC2970”. “على الرغم من أن المجموعة قد استهدفت سابقًا الصناعات الدفاعية والإعلامية والتقنية ، فإن استهداف الباحثين الأمنيين يشير إلى حدوث تحول في الاستراتيجية أو توسيع عملياتها”.

في حين أن استهداف الباحثين الأمنيين قد يكون جديدًا بالنسبة إلى UNC2970 ، فإن الجهات الفاعلة الأخرى في كوريا الشمالية قد شاركت في هذا النشاط منذ عام 2021 على الأقل.

يمكن أن تقلل الأهداف من فرص الإصابة في هذه الحملات باستخدام:

• مصادقة متعددة العوامل
• حسابات السحابة فقط للوصول إلى Azure Active Directory
• حساب منفصل لإرسال البريد الإلكتروني وتصفح الويب والأنشطة المماثلة وحساب مشرف مخصص للوظائف الإدارية الحساسة.

يجب على المؤسسات أيضًا مراعاة وسائل الحماية الأخرى ، بما في ذلك حظر وحدات الماكرو واستخدام إدارة الهوية المميزة وسياسات الوصول المشروط وقيود الأمان في Azure AD. يوصى أيضًا بطلب العديد من المسؤولين للموافقة على معاملات InTune. يتم تضمين القائمة الكاملة لعوامل التخفيف في منشور Mandiant المرتبط أعلاه.