Ataques de spear-phishing contra investigadores de seguridad
Según la empresa de ciberseguridad Mandiant, un grupo de espionaje norcoreano conocido como UNC2970 ha estado llevando a cabo ataques de spear-phishing contra medios de comunicación y organizaciones tecnológicas de Estados Unidos y Europa desde junio de 2022, utilizando familias de malware nuevas y desconocidas hasta ahora.
El informe de Mandiant señala que los investigadores de seguridad fueron los principales objetivos de los ataques, que implicaron el uso de LinkedIn para hacerse pasar por reclutadores y facilitar la comunicación inicial con las víctimas potenciales, seguido de la entrega de la carga útil de phishing a través de una descripción de trabajo enviada por WhatsApp. UNC2970 es la designación de la empresa de inteligencia de amenazas para un conjunto de actividades cibernéticas de Corea del Norte que se asigna a UNC577 (alias Temp.Hermit) e incluye otro grupo de amenazas incipiente rastreado como UNC4034.
El grupo se hace pasar por reclutadores en LinkedIn e inicia el contacto con las víctimas potenciales. A continuación, UNC2970 utiliza WhatsApp para enviar una carga útil de phishing disfrazada de descripción falsa del puesto de trabajo, que contiene un backdoor llamado Plankwalk o malware de otras familias.
UNC2970 se ha dirigido tradicionalmente a las organizaciones con correos electrónicos de spearphishing con temas de contratación laboral. Recientemente, el grupo ha empezado a utilizar cuentas falsas de LinkedIn pertenecientes a supuestos reclutadores. Las cuentas se diseñan cuidadosamente para que parezcan legítimas con el fin de engañar a los objetivos y aumentar sus posibilidades de éxito. Finalmente, el actor de la amenaza intenta cambiar las conversaciones a WhatsApp y, desde allí, utiliza WhatsApp o el correo electrónico para enviar un backdoor que Mandiant denomina Plankwalk, u otras familias de malware.
Al llevar a cabo operaciones de phishing, UNC2970 se comunicaba inicialmente con los objetivos a través de LinkedIn como reclutadores. Tras contactar con un objetivo, UNC2970 intentaba cambiar la conversación a WhatsApp, donde seguía interactuando con su objetivo antes de enviar una carga útil de phishing camuflada como una descripción de trabajo. UNC2970 seguía interactuando con una víctima incluso después de que se ejecutara y detectara la carga útil de phishing, y pedía capturas de pantalla de la detección en al menos un caso.
Las principales cargas útiles de phishing de UNC2970 son documentos de Microsoft Word incrustados con macros que inyectan plantillas remotas para extraer y ejecutar una carga útil desde un servidor remoto de mando y control (C2). Según Mandiant, se ha observado que UNC2970 adapta las descripciones falsas de los puestos de trabajo a objetivos específicos.
A continuación, la conversación se transfiere a WhatsApp, donde se entrega al objetivo una carga útil de phishing en forma de descripción de trabajo. En algunos casos se ha observado que estas cadenas de ataque despliegan versiones troyanizadas de TightVNC (denominadas LIDSHIFT), diseñadas para cargar una carga útil de siguiente fase denominada LIDSHOT, capaz de descargar y ejecutar shellcode desde un servidor remoto.
El archivo ZIP entregado por UNC2970 contenía lo que la víctima confundió con una prueba de evaluación de habilidades para una solicitud de empleo. En realidad, el ZIP contenía un archivo ISO con una versión troyanizada de TightVNC identificada por Mandiant como LIDSHIFT. Se indicaba a la víctima que iniciara la aplicación TightVNC, que, junto con los demás archivos, estaba etiquetada con el nombre de la empresa para la que la víctima pretendía realizar la evaluación.
A continuación, el ataque instala la puerta trasera Plankwalk, que luego puede instalar una variedad de otras herramientas, incluyendo la aplicación de punto final de Microsoft InTune. Los endpoints inscritos en el servicio Azure Active Directory de una organización pueden configurarse mediante InTune. UNC2970 parece estar utilizando una aplicación legítima para burlar la seguridad de los endpoints.
Las fuentes de este artículo incluyen un artículo en ArsTechnica.