攻擊者通過魚叉式網路釣魚攻擊瞄準安全研究人員

據網路安全公司 Mandiant 稱，自 2022 年 6 月以來，一個名為 UNC2970 的朝鮮間諜組織一直在使用新的和以前未知的惡意軟體家族對美國和歐洲的媒體和技術組織進行魚叉式網路釣魚攻擊。

Mandiant報告稱，安全研究人員是攻擊的主要目標，其中包括使用LinkedIn來冒充招聘人員並促進與潛在受害者的初步溝通，然後通過WhatsApp發送的職位描述進行網路釣魚有效載荷交付。UNC2970是威脅情報公司對一組北韓網路活動的指定，這些活動映射到UNC577（又名Temp.Hermit），並包括另一個新生的威脅集群，跟蹤為UNC4034。

這些攻擊針對的是安全研究人員，該組織在LinkedIn上冒充招聘人員並開始與潛在受害者聯繫。然後，UNC2970使用WhatsApp提供偽裝成虛假工作描述的網路釣魚有效載荷，其中包含一個名為Plankwalk的後門或其他家族的惡意軟體。

UNC2970 傳統上針對組織發送帶有招聘主題的魚叉式網路釣魚電子郵件。最近，該組織開始使用屬於據稱招聘人員的虛假LinkedIn帳戶。這些帳戶經過精心設計，看起來像合法的人，以欺騙目標並增加他們成功的機會。最終，威脅行為者試圖將對話轉移到WhatsApp，並從那裡使用WhatsApp或電子郵件來提供Mandiant稱為Plankwalk或其他惡意軟體家族的後門。

在進行網路釣魚操作時，UNC2970最初通過LinkedIn作為招聘人員與目標進行通信。聯繫目標后，UNC2970 將嘗試將對話轉移到 WhatsApp，在那裡他們將繼續與目標互動，然後發送偽裝成職位描述的網路釣魚有效載荷。即使在執行並檢測到網路釣魚有效負載后，UNC2970 仍繼續與受害者互動，要求至少在一個案例中提供檢測的屏幕截圖。

UNC2970 的主要網路釣魚有效負載是嵌入了宏的 Microsoft Word 文檔，這些宏執行遠端範本注入以從遠端命令和控制伺服器 （C2） 下拉和執行有效負載。據Mandiant稱，UNC2970已被觀察到針對特定目標定製虛假的職位描述。

然後將對話傳輸到WhatsApp，在那裡網路釣魚有效負載以工作描述的形式傳遞給目標。在某些情況下，已經觀察到這些攻擊鏈部署了TightVNC（稱為LIDSHIFT）的木馬化版本，該版本旨在載入稱為LIDSHOT的下一階段有效載荷，該有效載荷能夠從遠端伺服器下載和執行shellcode。

UNC2970提供的ZIP檔包含受害者誤認為是工作申請技能評估測試的內容。實際上，ZIP包含一個ISO檔，其中包含由Mandiant識別為LIDSHIFT的TightVNC的木馬化版本。受害者被指示啟動TightVNC應用程式，該應用程式與其他檔一起標有受害者打算進行評估的公司名稱。

然後，攻擊會安裝Plankwalk後門，然後可以安裝各種其他工具，包括Microsoft端點應用程式InTune。可以使用 InTune 配置在組織的 Azure Active Directory 服務中註冊的終結點。UNC2970似乎正在使用合法的應用程式來規避端點安全。

這篇文章的來源包括 ArsTechnica的一篇文章。

總結

文章名稱

攻擊者通過魚叉式網路釣魚攻擊瞄準安全研究人員

描述

TuxCare説明組織負責企業Linux系統的支持，維護和安全性。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標