Se ha observado que un grupo de ciberespionaje vinculado a Corea del Norte utiliza señuelos de phishing de temática laboral para atacar a posibles víctimas de los sectores energético y aeroespacial e infectarlas con una puerta trasera no documentada previamente denominada MISTPEN.
Mandiant, propiedad de Google, está rastreando el clúster de actividad bajo el apodo UNC2970, que se solapa con un grupo de amenazas conocido como TEMP.Hermit, también llamado Lazarus Group o Diamond Sleet (antes Zinc).
El actor de amenazas tiene un historial de ataques contra instituciones gubernamentales, de defensa, de telecomunicaciones y financieras en todo el mundo desde al menos 2013 para recopilar inteligencia estratégica que promueva los intereses de Corea del Norte. Está afiliado a la Oficina General de Reconocimiento (RGB).
La firma de inteligencia de amenazas dijo que ha observado que UNC2970 señala a varias entidades ubicadas en los EE.UU., el Reino Unido, los Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia.
"UNC2970 se dirige a las víctimas bajo la apariencia de ofertas de empleo, haciéndose pasar por un reclutador de empresas destacadas", afirma en un nuevo análisis, y añade que copia y modifica las descripciones de los puestos de trabajo según los perfiles a los que se dirigen.
"Además, las descripciones de trabajo elegidas se dirigen a empleados de alto nivel. Esto sugiere que el actor de la amenaza tiene como objetivo obtener acceso a información sensible y confidencial que normalmente está restringida a los empleados de más alto nivel."
Las cadenas de ataque, también conocidas como Operación Dream Job, implican el uso de señuelos de spear-phishing para interactuar con las víctimas a través de correo electrónico y WhatsApp en un intento de generar confianza, antes de enviar un archivo ZIP malicioso disfrazado de descripción de trabajo.
En un giro interesante, el archivo PDF de la descripción sólo se puede abrir con una versión troyanizada de una aplicación de lectura de PDF legítima llamada Sumatra PDF incluida en el archivo para entregar MISTPEN mediante un lanzador denominado BURNBOOK.
Cabe señalar que esto no implica un ataque a la cadena de suministro ni existe una vulnerabilidad en el software. Más bien se ha descubierto que el ataque emplea una versión antigua de Sumatra PDF que ha sido reutilizada para activar la cadena de infección.
Tanto Mandiant como Microsoft han destacado el uso de una amplia gama de software de código abierto, como PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording para estos ataques.
Se cree que los actores de la amenaza probablemente instruyen a las víctimas para que abran el archivo PDF utilizando el programa visor de PDF armado adjunto para desencadenar la ejecución de un archivo DLL malicioso, un lanzador C/C++ llamado BURNBOOK.
"Este archivo es un dropper para una DLL incrustada, 'wtsapi32.dll', que se rastrea como TEARPAGE y se utiliza para ejecutar el backdoor MISTPEN después de reiniciar el sistema", dijeron los investigadores de Mandiant. "MISTPEN es una versión troyanizada de un plugin legítimo de Notepad++, binhex.dll, que contiene un backdoor".
TEARPAGE, un cargador integrado en BURNBOOK, se encarga de desencriptar y ejecutar MISTPEN. MISTPEN, un implante ligero escrito en C, está equipado para descargar y ejecutar archivos ejecutables portátiles (PE) recuperados de un servidor de comando y control (C2). Se comunica a través de HTTP con las siguientes URL de Microsoft Graph.
Mandiant también dijo que descubrió artefactos BURNBOOK y MISTPEN más antiguos, lo que sugiere que se están mejorando iterativamente para añadir más capacidades y permitirles volar bajo el radar. Las primeras muestras de MISTPEN también se han descubierto utilizando sitios web de WordPress comprometidos como dominios C2.
"El autor de la amenaza ha mejorado su malware con el tiempo, implementando nuevas funciones y añadiendo una comprobación de conectividad de red para dificultar el análisis de las muestras", afirman los investigadores.
Fuente: thehackernews