Un grupo de ciberdelincuentes de Corea del Norte está teniendo como principales objetivos a investigadores de seguridad y medios de comunicación en Estados Unidos y Europa. Para ello utilizan falsas ofertas de empleo que llevan al despliegue de tres nuevas familias de malware personalizadas.
Los atacantes hacen uso de la ingeniería social para convencer a sus objetivos que interactúen a través de WhatsApp, donde lanzan la carga útil de malware «PlankWalk», una puerta trasera de C++ que les ayuda a establecer un punto de apoyo en el entorno corporativo del objetivo.
Según Mandiant, que ha estado rastreando la campaña desde junio de 2022, la actividad se superpone con la «Operación Dream Job», atribuida al grupo de Corea del Norte conocido como «Lazarus».
Sin embargo, Mandiant ha observado una serie de diferencias en las herramientas, la infraestructura y los TTP (tácticas, técnicas y procedimientos) empleados para atribuir esta campaña a un grupo separado llamado «UNC2970».
Además, los atacantes usan un malware nunca antes visto llamado ‘TOUCHMOVE’, ‘SIDESHOW’ y ‘TOUCHSHIFT’, que no se han atribuido a ningún otro grupo de amenazas conocido.
Estas amenazas se han centrado en empresas tecnológicas, medios de comunicación y firmas del sector de la ciberseguridad. Su última campaña muestra que ha evolucionado su alcance de y ha adaptado sus capacidades.
Los ciberdelincuentes inician su ataque acercándose a objetivos a través de LinkedIn, haciéndose pasar por reclutadores de empleo. Después cambian a WhatsApp para continuar con el proceso de «reclutamiento», compartiendo un documento de Word con macros maliciosas.
De acuerdo con Mandiant, en algunos casos, estos documentos de Word están diseñados para ajustarse a las descripciones de trabajo reales. Por ejemplo, uno de los señuelos se hace pasar por el New York Times. Las macros del documento de Word realizan una inyección de plantilla remota para obtener una versión troyana de TightVNC de los sitios de WordPress comprometidos que sirven como servidores de comando y control.
Un malware camuflado
Los expertos destacan que todo esto se lleva a cabo sin que el usuario sea consciente de estar siendo atacado. De esta forma desconoce que el malware instala una versión legítima de un controlador del teléfono con vulnerabilidades conocidas, desde la cual se pueden efectuar operaciones para desarmar el software de seguridad que la máquina objetivo pueda tener instalado.
Lo más interesante del grupo es el nuevo SideShow de puerta trasera personalizado, que admite un total de 49 comandos. Estos comandos permiten a un atacante ejecutar código arbitrario en el dispositivo comprometido, modificar el registro, manipular la configuración del firewall, agregar nuevas tareas programadas y ejecutar cargas útiles adicionales.
En algunos casos en los que las organizaciones objetivo no usaban una VPN, se observó que los actores de amenazas abusaron de Microsoft Intune para implementar el malware «CloudBurst» usando scripts de PowerShell.
Ante los riesgos que conlleva este malware, los expertos señalan la importancia de extremar precauciones con este tipo de ofertas de trabajo.
