От вакансии до бэкдора: анатомия изощренной атаки Северной Кореи
Хакеры КНДР превратили рекрутинг в кибероружие против США.
В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.
UNC2970 использует ложные вакансии, представляясь рекрутерами известных компаний. Для каждой цели злоумышленники адаптируют описание вакансий под профиль жертвы. Контакт с жертвой происходит через электронную почту или WhatsApp. Далее киберпреступники отправляют архив, якобы содержащий описание вакансии в формате PDF. Однако для открытия PDF-файла требуется использовать поддельную версию программы SumatraPDF, которая устанавливает вредоносное ПО — бэкдор MISTPEN, предоставляющий контроль над системой жертвы.
Специалисты Mandiant выяснили, что UNC2970 модифицировала код старой версии SumatraPDF. При этом сама SumatraPDF не была скомпрометирована. По итогам расследования Mandiant оповестила разработчиков программы о данной кампании для повышения осведомлённости.
Вредоносное ПО Mistpen является модифицированным плагином (binhex.dll) для текстового редактора Notepad++, что усложняет анализ. По словам исследователей, со временем в новую версию бэкдора были добавлены дополнительные функции, включая проверку сетевого подключения, что затрудняет работу специалистов по кибербезопасности.
Группа UNC2970 нацелена на работников, связанных с критической инфраструктурой США. Основной целью злоумышленников являются менеджеры и руководители, обладающие доступом к конфиденциальной информации. Для этого преступники изменяют оригинальные описания вакансий, внося незначительные изменения в требования к квалификации и опыту работы, чтобы сделать их более подходящими для выбранной жертвы.
Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.
Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.