Un groupe de piratage nord-coréen soupçonné cible les chercheurs en sécurité et les organisations médiatiques aux États-Unis et en Europe avec de fausses offres d’emploi qui conduisent au déploiement de trois nouvelles familles de logiciels malveillants personnalisés.
Les attaquants utilisent l’ingénierie sociale pour convaincre leurs cibles de s’engager sur WhatsApp, où ils abandonnent la charge utile du malware « PlankWalk », une porte dérobée C++ qui les aide à s’implanter dans l’environnement d’entreprise de la cible.
Selon Mandiant, qui suit la campagne particulière depuis juin 2022, l’activité observée chevauche «l’opération Dream Job», attribuée au cluster nord-coréen connu sous le nom de «groupe Lazarus».
Cependant, Mandiant a observé suffisamment de différences dans les outils, l’infrastructure et les TTP (tactiques, techniques et procédures) utilisés pour attribuer cette campagne à un groupe distinct qu’ils suivent sous le nom « UNC2970 ».
De plus, les attaquants utilisent des logiciels malveillants jusqu’alors inconnus nommés « TOUCHMOVE », « SIDESHOW » et « TOUCHSHIFT », qui n’ont été attribués à aucun groupe de menaces connu.
Mandiant dit que le groupe particulier a déjà ciblé des entreprises technologiques, des groupes de médias et des entités de l’industrie de la défense. Sa dernière campagne montre qu’elle a fait évoluer sa portée de ciblage et adapté ses capacités.
Phishing pour prendre pied
Les pirates commencent leur attaque en approchant des cibles sur LinkedIn, se faisant passer pour des recruteurs. Finalement, ils sont passés à WhatsApp pour poursuivre le processus de « recrutement », en partageant un document Word incrusté de macros malveillantes.
Mandiant dit que dans certains cas, ces documents Word sont stylisés pour correspondre aux descriptions de poste qu’ils promeuvent auprès des cibles. Par exemple, l’un des leurres partagés par Mandiant se fait passer pour le New York Times, comme indiqué ci-dessous.
Les macros du document Word effectuent une injection de modèle à distance pour récupérer une version trojanisée de TightVNC à partir de sites WordPress compromis qui servent de serveurs de commande et de contrôle de l’attaquant.
Mandiant suit cette version personnalisée de TightVNC sous le nom de « LidShift ». Lors de l’exécution, il utilise l’injection de DLL réfléchissante pour charger une DLL cryptée (plug-in Notepad ++ trojanisé) dans la mémoire du système.
Le fichier chargé est un téléchargeur de logiciels malveillants nommé « LidShot », qui effectue l’énumération du système et déploie la charge utile finale d’établissement de pied sur l’appareil piraté, « PlankWalk ».
Se déguiser en fichiers Windows
Au cours de la phase de post-exploitation, les pirates nord-coréens utilisent un nouveau compte-gouttes de logiciels malveillants personnalisé nommé « TouchShift », qui se déguise en un binaire Windows légitime (mscoree.dll ou netplwix.dll).
TouchShift charge ensuite un autre utilitaire de capture d’écran appelé « TouchShot », un enregistreur de frappe nommé « TouchKey », un tunnelier nommé « HookShot », un nouveau chargeur nommé « TouchMove » et une nouvelle porte dérobée nommée « SideShow ».
Le plus intéressant du groupe est la nouvelle porte dérobée personnalisée SideShow, qui prend en charge un total de 49 commandes. Ces commandes permettent à un attaquant d’exécuter du code arbitraire sur l’appareil compromis, de modifier le registre, de manipuler les paramètres du pare-feu, d’ajouter de nouvelles tâches planifiées et d’exécuter des charges utiles supplémentaires.
Dans certains cas où les organisations ciblées n’utilisaient pas de VPN, les acteurs de la menace ont été observés abusant de Microsoft Intune pour déployer le logiciel malveillant « CloudBurst » à l’aide de scripts PowerShell.
Cet outil se déguise également en un fichier Windows légitime, plus précisément, « mscoree.dll », et son rôle est d’effectuer l’énumération du système.
Désactivation des outils EDR via le jour zéro
Un deuxième rapport publié par Mandiant aujourd’hui se concentre sur la tactique «apportez votre propre conducteur vulnérable» (BYOVD) suivie par UNC2970 dans la dernière campagne.
Après avoir examiné les journaux des systèmes compromis, les analystes de Mandiant ont trouvé des pilotes suspects et un fichier DLL étrange (« _SB_SMBUS_SDK.dll »).
Après une enquête plus approfondie, les chercheurs ont découvert que ces fichiers avaient été créés par un autre fichier nommé « Share.DAT », un compte-gouttes en mémoire suivi sous le nom de « LightShift ».
Le dropper charge une charge utile obscurcie appelée « LightShow », qui exploite le pilote vulnérable pour effectuer des opérations de lecture et d’écriture arbitraires sur la mémoire du noyau.
Le rôle de la charge utile est de corriger les routines du noyau utilisées par le logiciel EDR (Endpoint Detection and Response), aidant les intrus à échapper à la détection.
Notamment, le pilote utilisé dans cette campagne était un pilote ASUS (« Driver7.sys ») qui n’était pas connu pour être vulnérable au moment de la découverte de Mandiant, de sorte que les pirates nord-coréens exploitaient une faille zero-day.
Mandiant a signalé le problème à ASUS en octobre 2022, la vulnérabilité a reçu l’identifiant CVE-2022-42455 et le fournisseur l’a corrigé via une mise à jour publiée sept jours plus tard.
Les pirates nord-coréens ciblaient auparavant les chercheurs en sécurité impliqués dans le développement de vulnérabilités et d’exploits en créant de faux personnages de médias sociaux en ligne qui se faisaient passer pour des chercheurs en vulnérabilité.
Ces personnes contacteraient ensuite d’autres chercheurs en sécurité au sujet d’une éventuelle collaboration dans la recherche sur les vulnérabilités.
Après avoir établi un contact avec un chercheur, les pirates ont envoyé des projets Visual Studio malveillants et des fichiers MHTML qui exploitaient un Internet Explorer zero-day.
Ces deux leurres ont été utilisés pour déployer des logiciels malveillants sur les appareils des chercheurs ciblés afin d’accéder à distance aux ordinateurs.