Хакеры атакуют через LinkedIn

Впервые вредоносная кампания северокорейских хакеров обнаружена в июне 2022 года – тогда хакеры пытались заразить тремя семействами вредоносного ПО Touchmove, Sideshow и Touchshift. При атаках группировка UNC2970, которую связывают с правительством Северной Кореи, использовала почтовый фишинг, замаскированный под предложения о работе. 

Но теперь тактика изменилась - вместо фишинговых писем группировка использует фейковые аккаунты LinkedIn, которые якобы принадлежат HR. На первом этапе злоумышленники связываются с жертвой и предлагают работу, предлагая перевести разговор в мессенджер или электронную почту. 

Далее они отправляют документ Microsoft Word, в котором якобы подробно описано предложение о работе. Когда жертва открывает документ, устройство жертвы загружает вредоносную полезную нагрузку с серверов хакеров, в качестве которых выступают ранее взломанные сайты на WordPress. 

В итоге на устройство жертвы попадает ZIP-архив, в котором упакована вредоносная версия приложения TightVNC для удаленного доступа к рабочему столу. После запуска этого приложения вредоносная программа отправляет “маяк”, который содержит исходные имена пользователя и хоста, на закодированный C&C-сервер. На машину жертвы также загружается троянизированный плагин Notepad. Все это позволяет внедрить и другие инструменты хакеров, в том числе дропперы, которые сопосбны загружать другие вредоносные программы, например, кейлоггеры, утилиты, PowerShell-скрипты и полнофункциональные бэкдоры.

 «Хотя ранее группировка нацеливалась на оборонную, медиа- и технологическую отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение деятельности UNC2970», — отмечают специалисты.