Un grupo de espionaje norcoreano rastreado como UNC2970 se ha observado que emplea familias de malware previamente indocumentadas como parte de una campaña de phishing dirigido a organizaciones de tecnología y medios de comunicación de EE. UU. y Europa desde junio de 2022.
Mandiant, propiedad de Google, dijo que el grupo de amenazas comparte «múltiples superposiciones» con una operación de larga duración denominada «Trabajo de ensueño» que emplea señuelos de reclutamiento laboral en mensajes de correo electrónico para desencadenar la secuencia de infección.
UNC2970 es el nuevo apodo designado por la firma de inteligencia de amenazas a un conjunto de actividades cibernéticas de Corea del Norte que se asigna a UNC577 (también conocido como Ermitaño temporal), y que también comprende otro grupo de amenazas emergentes rastreado como UNC4034.
La actividad UNC4034, como lo documentó Mandiant en septiembre de 2022, implicó el uso de WhatsApp para diseñar socialmente a los objetivos para que descargaran una puerta trasera llamada AIRDRY.V2 con el pretexto de compartir una prueba de evaluación de habilidades.
«UNC2970 tiene un esfuerzo concertado hacia la ofuscación y emplea múltiples métodos para hacer esto a lo largo de toda la cadena de entrega y ejecución», dijeron los investigadores de Mandiant en un detallado dos partes análisis, agregando el esfuerzo dirigido específicamente a los investigadores de seguridad.
Temp.Hermit es una de las principales unidades de piratería asociadas con la Oficina General de Reconocimiento (RGB) de Corea del Norte junto con Andariel y APT38 (también conocido como BlueNoroff). Los tres conjuntos de actores se conocen colectivamente como el Grupo Lázaro (también conocido como Cobra Oculta o Zinc).
«TEMP.Hermit es un actor que existe desde al menos 2013», Mandiant anotado en un informe de marzo de 2022. «Sus operaciones desde entonces son representativas de los esfuerzos de Pyongyang para recopilar inteligencia estratégica para beneficiar los intereses de Corea del Norte».
El último conjunto de ataques UNC2970 se caracteriza por acercarse inicialmente a los usuarios directamente en LinkedIn utilizando cuentas falsas «bien diseñadas y seleccionadas profesionalmente» que se hacen pasar por reclutadores.
Posteriormente, la conversación se cambia a WhatsApp, después de lo cual se entrega una carga útil de phishing al objetivo bajo la apariencia de una descripción del trabajo.
En algunos casos, se ha observado que estas cadenas de ataque implementan versiones troyanizadas de TightVNC (llamado LIDSHIFT), que está diseñado para cargar una carga útil de siguiente etapa etiquetada como LIDSHOT que es capaz de descargar y ejecutar shellcode desde un servidor remoto.
Establecer un punto de apoyo en entornos comprometidos se logra mediante una puerta trasera basada en C++ conocida como PLANKWALK que luego allana el camino para la distribución de herramientas adicionales como:
- CAMBIO TÁCTIL – Un gotero de malware que carga malware de seguimiento que va desde registradores de teclas y utilidades de captura de pantalla hasta puertas traseras con todas las funciones.
- TOQUE – Un software que está configurado para tomar una captura de pantalla cada tres segundos
- LLAVE TÁCTIL – Un registrador de teclas que captura las pulsaciones de teclas y los datos del portapapeles
- TIRO DE GANCHO – Una herramienta de tunelización que se conecta a través de TCP para comunicarse con el servidor de comando y control (C2)
- TOCAR MOVER – Un cargador que está diseñado para descifrar y ejecutar una carga útil en la máquina
- ATRACCIÓN SECUNDARIA – puerta trasera AC/C++ que ejecuta comandos arbitrarios y se comunica a través de solicitudes HTTP POST con su servidor C2
También se dice que UNC2970 aprovechó Microsoft Intune, una solución de administración de puntos finales, para lanzar un script de PowerShell personalizado que contiene una carga útil codificada en Base64 denominada CLOUDBURST, una puerta trasera basada en C que se comunica a través de HTTP.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
En lo que es un uso continuo de la técnica Bring Your Own Vulnerable Driver (BYOVD) por parte de actores alineados con Corea del Norte, las intrusiones emplean además un cuentagotas solo en memoria llamado LIGHTSHIFT que facilita la distribución de otra pieza de malware con nombre en código LIGHTSHOW.
La utilidad, además de tomar medidas para dificultar el análisis dinámico y estático, descarga una versión legítima de un controlador con vulnerabilidades conocidas para realizar operaciones de lectura y escritura en la memoria del kernel y, en última instancia, desarma el software de seguridad instalado en el host infectado.
«Las herramientas de malware identificadas destacan el desarrollo continuo de malware y la implementación de nuevas herramientas por parte de UNC2970», dijo Mandiant. «Aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnología, la orientación de los investigadores de seguridad sugiere un cambio en la estrategia o una expansión de sus operaciones».