Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Angreifer zielt mit Spearphishing-Angriffen auf Sicherheitsforscher
März 21, 2023 - TuxCare PR Team
Nach Angaben des Cybersecurity-Unternehmens Mandiant hat eine nordkoreanische Spionagegruppe mit dem Namen UNC2970 seit Juni 2022 Spear-Phishing-Angriffe gegen Medien- und Technologieunternehmen in den USA und Europa durchgeführt und dabei neue und bisher unbekannte Malware-Familien eingesetzt.
Dem Mandiant-Bericht zufolge waren Sicherheitsforscher die Hauptziele der Angriffe, bei denen LinkedIn genutzt wurde, um sich als Personalvermittler auszugeben und die erste Kommunikation mit potenziellen Opfern zu erleichtern, gefolgt von einer Phishing-Nutzlast, die über eine per WhatsApp verschickte Stellenbeschreibung übermittelt wurde. UNC2970 ist die Bezeichnung des Bedrohungsforschungsunternehmens für eine Reihe nordkoreanischer Cyber-Aktivitäten, die UNC577 (auch bekannt als Temp.Hermit) zuzuordnen sind und ein weiteres entstehendes Bedrohungscluster umfassen, das als UNC4034 verfolgt wird.
Die Angriffe zielen auf Sicherheitsforscher ab. Die Gruppe gibt sich auf LinkedIn als Personalvermittler aus und nimmt Kontakt mit potenziellen Opfern auf. UNC2970 nutzt dann WhatsApp, um eine als gefälschte Stellenbeschreibung getarnte Phishing-Nutzlast zu übermitteln, die eine Backdoor namens Plankwalk oder Malware aus anderen Familien enthält.
UNC2970 hat traditionell Unternehmen mit Spearphishing-E-Mails angegriffen, in denen es um die Einstellung von Mitarbeitern geht. In letzter Zeit hat die Gruppe damit begonnen, gefälschte LinkedIn-Konten zu verwenden, die angeblichen Personalvermittlern gehören. Die Konten werden sorgfältig so gestaltet, dass sie wie legitime Personen aussehen, um die Zielpersonen zu täuschen und ihre Erfolgschancen zu erhöhen. Schließlich versucht der Bedrohungsakteur, die Konversationen auf WhatsApp zu verlagern und von dort aus entweder WhatsApp oder E-Mail zu nutzen, um eine Hintertür, die Mandiant als Plankwalk bezeichnet, oder andere Malware-Familien zu installieren.
Bei der Durchführung von Phishing-Operationen kommunizierte UNC2970 zunächst mit den Zielpersonen über LinkedIn als Personalvermittler. Nach der Kontaktaufnahme mit einer Zielperson versuchte UNC2970, das Gespräch auf WhatsApp zu verlagern, wo sie weiter mit der Zielperson interagierten, bevor sie eine als Stellenbeschreibung getarnte Phishing-Nutzlast versendeten. UNC2970 setzte die Interaktion mit dem Opfer auch dann noch fort, nachdem die Phishing-Nutzdaten ausgeführt und entdeckt worden waren, und bat in mindestens einem Fall um Screenshots der Erkennung.
Bei den primären Phishing-Nutzdaten von UNC2970 handelt es sich um Microsoft Word-Dokumente, in die Makros eingebettet sind, die eine Remote-Vorlageninjektion durchführen, um eine Nutzlast von einem Remote-Befehls- und Kontrollserver (C2) abzurufen und auszuführen. Laut Mandiant wurde beobachtet, dass UNC2970 die gefälschten Stellenbeschreibungen auf bestimmte Ziele zuschneidet.
Die Konversation wird dann an WhatsApp übertragen, wo eine Phishing-Nutzlast in Form einer Stellenbeschreibung an das Ziel übermittelt wird. Bei diesen Angriffsketten wurde in einigen Fällen beobachtet, dass trojanisierte Versionen von TightVNC (genannt LIDSHIFT) eingesetzt werden, die eine weitere Nutzlast mit der Bezeichnung LIDSHOT laden, die in der Lage ist, Shellcode von einem entfernten Server herunterzuladen und auszuführen.
Die von UNC2970 gelieferte ZIP-Datei enthielt etwas, das das Opfer fälschlicherweise für einen Test zur Bewertung der Bewerbungsfähigkeiten hielt. In Wirklichkeit enthielt die ZIP-Datei eine ISO-Datei mit einer trojanisierten Version von TightVNC, die von Mandiant als LIDSHIFT identifiziert wurde. Das Opfer wurde angewiesen, die TightVNC-Anwendung zu starten, die zusammen mit den anderen Dateien mit dem Namen des Unternehmens gekennzeichnet ist, für das das Opfer die Prüfung ablegen wollte.
Der Angriff installiert dann die Plankwalk-Backdoor, die dann eine Reihe anderer Tools installieren kann, darunter die Microsoft-Endpunktanwendung InTune. Endgeräte, die beim Azure Active Directory-Dienst eines Unternehmens angemeldet sind, können mit InTune konfiguriert werden. UNC2970 scheint eine legitime Anwendung zu verwenden, um die Endgerätesicherheit zu umgehen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.
