- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Злоумышленники используют социальную инженерию, чтобы убедить свои цели связаться с ними через WhatsApp, где они доставляют на устройства жертв полезную нагрузку вредоносного ПО «PlankWalk», бэкдор на C++, который позволяет хакерам закрепиться в корпоративной среде цели.
Эксперты отслеживают кампанию с июня 2022 года и приписали её группе, которую они отслеживают как «UNC2970». Кроме того, злоумышленники используют ранее неизвестное вредоносное ПО с названиями «TOUCHMOVE», «SIDESHOW» и «TOUCHHIFT».
Цепочка атак начинается с того, что хакеры связываются с целями в LinkedIn, выдавая себя за рекрутеров. Затем они убеждают жертв перейти в WhatsApp, а там отправляют документ Word со встроенными вредоносными макросами. В некоторых случаях эти документы Word стилизованы под конкретные должности.
Макросы документа Word выполняют атаку Remote Template Injection (удаленная инъекция шаблона) для получения заражённой версии «TightVNC» (программа для удаленного подключения к рабочему столу) со скомпрометированных сайтов WordPress, которые служат серверами управления и контроля (C2, C&C) злоумышленника.
Троянизированная версия ПО TightVNC является бэкдором «LidShift», который после выполнения использует метод Reflective DLL Injection для загрузки зашифрованной DLL-библиотеки троянизированного плагина Notepad++ в память системы. Загруженный файл представляет собой загрузчик вредоносного ПО под названием «LidShot», который выполняет перечисление системы и развертывает полезную нагрузку бэкдора «PlankWalk».
На этапе пост-эксплуатации хакеры используют новый специальный дроппер под названием «TOUCHHIFT», который маскируется под двоичный файл Windows (mscoree.dll или netplwix.dll).
Затем «TouchShift» загружает:
- утилиту для создания скриншотов «TouchShot»;
- кейлоггер «TouchKey»;
- программу для создания туннелей «HookShot»;
- загрузчик «TouchMove»;
- бэкдор «SideShow».
- выполнять произвольный код на устройстве;
- изменять реестр;
- управлять настройками брандмауэра;
- добавлять новые запланированные задачи;
- доставлять дополнительные полезные нагрузки.
LightShow использует уязвимый драйвер ASUS (Driver7.sys) для выполнения произвольных операций чтения и записи в памяти ядра, чтобы исправить подпрограммы ядра, используемых EDR-решениями, позволяя злоумышленникам избежать обнаружения.
Северокорейские хакеры ранее преследовали ИБ-специалистов, связываясь с ними в соцсетях через поддельные профили исследователей безопасности, а затем отправляли жертвам вредоносные проекты Visual Studio и MHTML-файлы, которые использовали 0-day уязвимость Internet Explorer. Эти файлы использовались для развертывания вредоносных программ на устройствах для получения удаленного доступа к компьютерам.