Kelompok peretasan Korea Utara yang dicurigai menargetkan peneliti keamanan dan organisasi media di AS dan Eropa dengan tawaran pekerjaan palsu yang mengarah pada penyebaran tiga keluarga malware baru yang disesuaikan.
Penyerang menggunakan rekayasa sosial untuk meyakinkan target mereka agar terlibat melalui WhatsApp, di mana mereka menjatuhkan muatan malware “PlankWalk,” pintu belakang C++ yang membantu mereka membangun pijakan di lingkungan perusahaan target.
Berdasarkan Mandiantyang telah melacak kampanye tertentu sejak Juni 2022, aktivitas yang diamati tumpang tindih dengan “Operasi Mimpi Pekerjaan,” dikaitkan dengan kluster Korea Utara yang dikenal sebagai “grup Lazarus.”
Namun, Mandiant mengamati cukup banyak perbedaan dalam alat, infrastruktur, dan TTP (taktik, teknik, dan prosedur) yang digunakan untuk menghubungkan kampanye ini ke grup terpisah yang mereka lacak sebagai “UNC2970”.
Selain itu, penyerang menggunakan malware yang sebelumnya tak terlihat bernama ‘TOUCHMOVE’, ‘SIDESHOW’, dan ‘TOUCHSHIFT,’ yang belum dikaitkan dengan kelompok ancaman yang diketahui.
Mandiant mengatakan kelompok tertentu sebelumnya telah menargetkan perusahaan teknologi, kelompok media, dan entitas di industri pertahanan. Kampanye terbarunya menunjukkan bahwa ia telah mengembangkan cakupan penargetan dan mengadaptasi kemampuannya.
Phishing untuk mendapatkan pijakan
Peretas memulai serangan mereka dengan mendekati target melalui LinkedIn, menyamar sebagai perekrut pekerjaan. Akhirnya, mereka beralih ke WhatsApp untuk melanjutkan proses “perekrutan”, berbagi dokumen Word yang disematkan dengan makro berbahaya.
Mandiant mengatakan bahwa dalam beberapa kasus, dokumen Word ini disesuaikan dengan deskripsi pekerjaan yang mereka promosikan ke target. Misalnya, salah satu iming-iming yang dibagikan oleh Mandiant meniru New York Times, seperti yang ditunjukkan di bawah ini.
Makro dokumen Word melakukan injeksi templat jarak jauh untuk mengambil versi trojan dari TightVNC dari situs WordPress yang disusupi yang berfungsi sebagai server perintah dan kontrol penyerang.
Mandiant melacak versi TightVNC yang dibuat khusus ini sebagai “LidShift.” Setelah eksekusi, ia menggunakan injeksi DLL reflektif untuk memuat DLL terenkripsi (plugin Notepad++ trojanized) ke dalam memori sistem.
File yang dimuat adalah pengunduh malware bernama “LidShot”, yang melakukan pencacahan sistem dan menyebarkan muatan pembentuk pijakan terakhir pada perangkat yang dilanggar, “PlankWalk”.
Menyamar sebagai file Windows
Selama fase pasca-eksploitasi, peretas Korea Utara menggunakan dropper malware khusus baru bernama “TouchShift”, yang menyamar sebagai biner Windows yang sah (mscoree.dll atau netplwix.dll).
TouchShift kemudian memuat utilitas screenshot lain yang disebut “TouchShot”, keylogger bernama “TouchKey”, tunneler bernama “HookShot”, loader baru bernama “TouchMove”, dan backdoor baru bernama “SideShow”.
Yang paling menarik dari kumpulan itu adalah SideShow pintu belakang kustom baru, yang mendukung total 49 perintah. Perintah ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer pada perangkat yang disusupi, mengubah registri, memanipulasi pengaturan firewall, menambahkan tugas terjadwal baru, dan menjalankan muatan tambahan.
Dalam beberapa kasus di mana organisasi yang ditargetkan tidak menggunakan VPN, pelaku ancaman diamati menyalahgunakan Microsoft Intune untuk menyebarkan malware “CloudBurst” menggunakan skrip PowerShell.
Alat itu juga menyamar sebagai file Windows yang sah, lebih khusus lagi, “mscoree.dll,” dan perannya adalah melakukan enumerasi sistem.
Menonaktifkan alat EDR melalui zero-day
A laporan kedua diterbitkan oleh Mandiant hari ini berfokus pada taktik “bawa pengemudi rentan Anda sendiri” (BYOVD) diikuti oleh UNC2970 dalam kampanye terbaru.
Setelah memeriksa log pada sistem yang disusupi, analis Mandiant menemukan driver yang mencurigakan dan file DLL yang aneh (“_SB_SMBUS_SDK.dll”).
Setelah penyelidikan lebih lanjut, para peneliti menemukan file-file ini telah dibuat oleh file lain bernama “Share.DAT”, sebuah dropper dalam memori yang dilacak sebagai “LightShift.”
Dropper memuat muatan yang dikaburkan yang disebut “LightShow,” yang memanfaatkan driver yang rentan untuk melakukan operasi baca dan tulis sewenang-wenang pada memori kernel.
Peran payload adalah untuk menambal rutin kernel yang digunakan oleh perangkat lunak EDR (Endpoint Detection and Response), membantu penyusup menghindari deteksi.
Secara khusus, driver yang digunakan dalam kampanye ini adalah driver ASUS (“Driver7.sys”) yang tidak diketahui rentan pada saat penemuan Mandiant, sehingga peretas Korea Utara mengeksploitasi kelemahan zero-day.
Mandiant dilaporkan masalah ke ASUS pada Oktober 2022, kerentanan menerima pengidentifikasi CVE-2022-42455, dan vendor memperbaikinya melalui pembaruan yang dirilis tujuh hari kemudian.
Peretas Korea Utara sebelumnya menargetkan peneliti keamanan yang terlibat dalam kerentanan dan mengeksploitasi pengembangan dengan membuat persona media sosial online palsu yang berpura-pura menjadi peneliti kerentanan.
Persona ini kemudian akan menghubungi peneliti keamanan lain tentang kemungkinan kolaborasi dalam penelitian kerentanan.
Setelah menjalin kontak dengan seorang peneliti, the peretas mengirim proyek Visual Studio berbahaya Dan File MHTML yang mengeksploitasi Internet Explorer zero-day.
Kedua umpan ini digunakan untuk menyebarkan malware pada perangkat peneliti yang ditargetkan untuk mendapatkan akses jarak jauh ke komputer.
