Οι Βορειοκορεάτες hackers UNC2970 μολύνουν εταιρείες ενέργειας με το MISTPEN malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι Βορειοκορεάτες hackers UNC2970 μολύνουν εταιρείες ενέργειας με το MISTPEN malware
https://www.secnews.gr/619876/boreiokoreates-hackers-unc2970-molinoun-etaireies-energeias-mistpen-malware/
Sep 18th 2024, 15:27
Οι Βορειοκορεάτες hackers UNC2970 στέλνουν phishing emails (με εργασιακά θέματα) σε υπαλλήλους εταιρειών ενέργειας και αεροδιαστημικής, με σκοπό να τους μολύνουν με το MISTPEN malware.
Σύμφωνα με ερευνητές της Mandiant, η ομάδα κατασκοπείας UNC2970 έχει κοινά στοιχεία με μια άλλη ομάδα απειλών, τη Lazarus Group.
Οι Βορειοκορεάτες hackers έχουν στοχεύσει κυβερνητικές υπηρεσίες, οργανισμούς άμυνας, εταιρείες τηλεπικοινωνιών και χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, τουλάχιστον από το 2013. Στόχος των επιθέσεων είναι, συνήθως, η συλλογή στρατηγικών πληροφοριών που προωθούν τα συμφέροντα της Βόρειας Κορέας.
Δείτε επίσης: Το DOJ κατηγορεί Κινέζο μηχανικό για spear phishing κατά της NASA
Σύμφωνα με τη Mandiant, τη ομάδα UNC2970 έχει στοχεύσει διάφορες οντότητες στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ολλανδία, την Κύπρο, τη Σουηδία, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την Αυστραλία.
"Η UNC2970 στοχεύει θύματα με το πρόσχημα νέων θέσεων εργασίας. Οι επιτιθέμενοι παριστάνουν recruiters μεγάλων εταιρειών", ανέφεραν οι ερευνητές. Οι Βορειοκορεάτες hackers αντιγράφουν και τροποποιούν τις περιγραφές θέσεων εργασίας σύμφωνα με τα προφίλ στόχων τους.
"Επιπλέον, οι επιλεγμένες περιγραφές θέσεων εργασίας απευθύνονται σε υπαλλήλους ανώτερου/διευθυντικού επιπέδου. Αυτό υποδηλώνει ότι οι επιτιθέμενοι θέλουν να αποκτήσουν πρόσβαση σε ευαίσθητες και εμπιστευτικές πληροφορίες που, συνήθως, περιορίζονται σε υψηλόβαθμους υπαλλήλους".
Οι αλυσίδες επιθέσεων, γνωστές και ως Operation Dream Job, περιλαμβάνουν spear-phishing τεχνικές και οι Βορειοκορεάτες hackers UNC2970 αλληλεπιδρούν με τα θύματα μέσω email και WhatsApp. Στις πρώτες επικοινωνίες, οι επιτιθέμενοι προσπαθούν να κερδίσουν την εμπιστοσύνη των θυμάτων και μετά τους στέλνουν ένα κακόβουλο αρχείο ZIP (υποτιθέμενη περιγραφή εργασίας).
Δείτε επίσης: Νέο phishing scam παρουσιάζεται σαν ειδοποίηση ασφαλείας
Το ενσωματωμένο αρχείο PDF μπορεί να ανοίξει μόνο με μια trojanized έκδοση μιας νόμιμης εφαρμογής ανάγνωσης PDF, που ονομάζεται Sumatra PDF και περιλαμβάνεται στο αρχείο για την παράδοση του MISTPEN malware μέσω ενός launcher που αναφέρεται ως BURNBOOK.
Αξίζει να σημειωθεί ότι αυτό δεν συνεπάγεται επίθεση στην αλυσίδα εφοδιασμού ούτε υπάρχει ευπάθεια στο λογισμικό. Μάλλον χρησιμοποιείται μια παλαιότερη έκδοση του Sumatra PDF που έχει επανασχεδιαστεί για να ενεργοποιήσει την αλυσίδα μόλυνσης.
Πιστεύεται ότι οι φορείς απειλών πιθανότατα καθοδηγούν τα θύματα να ανοίξουν το αρχείο PDF χρησιμοποιώντας το ενσωματωμένο πρόγραμμα προβολής PDF για να ενεργοποιήσουν την εκτέλεση ενός κακόβουλου αρχείου DLL, ενός C/C++ launcher που ονομάζεται BURNBOOK.
Αυτό το αρχείο είναι ένα dropper για ένα ενσωματωμένο DLL, "wtsapi32.dll", το οποίο παρακολουθείται ως TEARPAGE και χρησιμοποιείται για την εκτέλεση του MISTPEN backdoor malware μετά την επανεκκίνηση του συστήματος", δήλωσαν οι ερευνητές της Mandiant. "Το MISPEN είναι μια trojanized έκδοση ενός νόμιμου Notepad++ plugin, binhex.dll, που περιέχει ένα backdoor".
Δείτε επίσης: Επιθέσεις phishing σε gov.gr και Ελληνικές Τράπεζες
Το TEARPAGE, το loader που είναι ενσωματωμένο στο BURNBOOK, είναι υπεύθυνο για την αποκρυπτογράφηση και την εκκίνηση του MISTPEN. Το MISTPEN malware λαμβάνει και εκτελεί αρχεία Portable Executable (PE) που ανακτώνται από έναν διακομιστή εντολών και ελέγχου (C2).
Η Mandiant είπε επίσης ότι αποκάλυψε παλαιότερα BURNBOOK και MISTPEN artifacts, υποδηλώνοντας ότι βελτιώνονται για να προσθέσουν περισσότερες δυνατότητες.
Τα παραπάνω δείχνουν ότι υπάρχει μεγάλη ανάγκη να ληφθούν κάποια μέτρα προστασίας έναντι των phishing emails. Ας δούμε μερικά από αυτά:
Χρήση email spam filters
Προστασία συσκευών με λογισμικό προστασίας από ιούς
Τακτική ενημέρωση λογισμικού
Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς
Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
Δημιουργία αντιγράφων ασφαλείας
Εάν μιλάμε για επιχειρήσεις (όπως εταιρείες ενέργειας και αεροδιαστημικής) τότε απαραίτητα είναι και κάποια έξτρα μέτρα:
Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις
Παρακολούθηση και προστασία των endpoints
Περιορισμός πρόσβασης σε σημαντικά συστήματα
Τμηματοποίηση δικτύου
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι Βορειοκορεάτες hackers UNC2970 μολύνουν εταιρείες ενέργειας με το MISTPEN malware
https://www.secnews.gr/619876/boreiokoreates-hackers-unc2970-molinoun-etaireies-energeias-mistpen-malware/
Sep 18th 2024, 15:27
Οι Βορειοκορεάτες hackers UNC2970 στέλνουν phishing emails (με εργασιακά θέματα) σε υπαλλήλους εταιρειών ενέργειας και αεροδιαστημικής, με σκοπό να τους μολύνουν με το MISTPEN malware.
Σύμφωνα με ερευνητές της Mandiant, η ομάδα κατασκοπείας UNC2970 έχει κοινά στοιχεία με μια άλλη ομάδα απειλών, τη Lazarus Group.
Οι Βορειοκορεάτες hackers έχουν στοχεύσει κυβερνητικές υπηρεσίες, οργανισμούς άμυνας, εταιρείες τηλεπικοινωνιών και χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, τουλάχιστον από το 2013. Στόχος των επιθέσεων είναι, συνήθως, η συλλογή στρατηγικών πληροφοριών που προωθούν τα συμφέροντα της Βόρειας Κορέας.
Δείτε επίσης: Το DOJ κατηγορεί Κινέζο μηχανικό για spear phishing κατά της NASA
Σύμφωνα με τη Mandiant, τη ομάδα UNC2970 έχει στοχεύσει διάφορες οντότητες στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ολλανδία, την Κύπρο, τη Σουηδία, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την Αυστραλία.
"Η UNC2970 στοχεύει θύματα με το πρόσχημα νέων θέσεων εργασίας. Οι επιτιθέμενοι παριστάνουν recruiters μεγάλων εταιρειών", ανέφεραν οι ερευνητές. Οι Βορειοκορεάτες hackers αντιγράφουν και τροποποιούν τις περιγραφές θέσεων εργασίας σύμφωνα με τα προφίλ στόχων τους.
"Επιπλέον, οι επιλεγμένες περιγραφές θέσεων εργασίας απευθύνονται σε υπαλλήλους ανώτερου/διευθυντικού επιπέδου. Αυτό υποδηλώνει ότι οι επιτιθέμενοι θέλουν να αποκτήσουν πρόσβαση σε ευαίσθητες και εμπιστευτικές πληροφορίες που, συνήθως, περιορίζονται σε υψηλόβαθμους υπαλλήλους".
Οι αλυσίδες επιθέσεων, γνωστές και ως Operation Dream Job, περιλαμβάνουν spear-phishing τεχνικές και οι Βορειοκορεάτες hackers UNC2970 αλληλεπιδρούν με τα θύματα μέσω email και WhatsApp. Στις πρώτες επικοινωνίες, οι επιτιθέμενοι προσπαθούν να κερδίσουν την εμπιστοσύνη των θυμάτων και μετά τους στέλνουν ένα κακόβουλο αρχείο ZIP (υποτιθέμενη περιγραφή εργασίας).
Δείτε επίσης: Νέο phishing scam παρουσιάζεται σαν ειδοποίηση ασφαλείας
Το ενσωματωμένο αρχείο PDF μπορεί να ανοίξει μόνο με μια trojanized έκδοση μιας νόμιμης εφαρμογής ανάγνωσης PDF, που ονομάζεται Sumatra PDF και περιλαμβάνεται στο αρχείο για την παράδοση του MISTPEN malware μέσω ενός launcher που αναφέρεται ως BURNBOOK.
Αξίζει να σημειωθεί ότι αυτό δεν συνεπάγεται επίθεση στην αλυσίδα εφοδιασμού ούτε υπάρχει ευπάθεια στο λογισμικό. Μάλλον χρησιμοποιείται μια παλαιότερη έκδοση του Sumatra PDF που έχει επανασχεδιαστεί για να ενεργοποιήσει την αλυσίδα μόλυνσης.
Πιστεύεται ότι οι φορείς απειλών πιθανότατα καθοδηγούν τα θύματα να ανοίξουν το αρχείο PDF χρησιμοποιώντας το ενσωματωμένο πρόγραμμα προβολής PDF για να ενεργοποιήσουν την εκτέλεση ενός κακόβουλου αρχείου DLL, ενός C/C++ launcher που ονομάζεται BURNBOOK.
Αυτό το αρχείο είναι ένα dropper για ένα ενσωματωμένο DLL, "wtsapi32.dll", το οποίο παρακολουθείται ως TEARPAGE και χρησιμοποιείται για την εκτέλεση του MISTPEN backdoor malware μετά την επανεκκίνηση του συστήματος", δήλωσαν οι ερευνητές της Mandiant. "Το MISPEN είναι μια trojanized έκδοση ενός νόμιμου Notepad++ plugin, binhex.dll, που περιέχει ένα backdoor".
Δείτε επίσης: Επιθέσεις phishing σε gov.gr και Ελληνικές Τράπεζες
Το TEARPAGE, το loader που είναι ενσωματωμένο στο BURNBOOK, είναι υπεύθυνο για την αποκρυπτογράφηση και την εκκίνηση του MISTPEN. Το MISTPEN malware λαμβάνει και εκτελεί αρχεία Portable Executable (PE) που ανακτώνται από έναν διακομιστή εντολών και ελέγχου (C2).
Η Mandiant είπε επίσης ότι αποκάλυψε παλαιότερα BURNBOOK και MISTPEN artifacts, υποδηλώνοντας ότι βελτιώνονται για να προσθέσουν περισσότερες δυνατότητες.
Τα παραπάνω δείχνουν ότι υπάρχει μεγάλη ανάγκη να ληφθούν κάποια μέτρα προστασίας έναντι των phishing emails. Ας δούμε μερικά από αυτά:
Χρήση email spam filters
Προστασία συσκευών με λογισμικό προστασίας από ιούς
Τακτική ενημέρωση λογισμικού
Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς
Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
Δημιουργία αντιγράφων ασφαλείας
Εάν μιλάμε για επιχειρήσεις (όπως εταιρείες ενέργειας και αεροδιαστημικής) τότε απαραίτητα είναι και κάποια έξτρα μέτρα:
Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις
Παρακολούθηση και προστασία των endpoints
Περιορισμός πρόσβασης σε σημαντικά συστήματα
Τμηματοποίηση δικτύου
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια