根据Mandiant最近的调查结果,从事能源和航空航天领域的公司正成为与朝鲜有关的网络间谍活动的目标。
该活动背后的组织名为UNC2970,很可能与朝鲜有关,并且与另一个受平壤支持的威胁行为者TEMP.Hermit有相似之处。谷歌旗下网络安全公司的研究人员于2024年6月发现了UNC2970的最新活动,并于周二公布了他们的调查结果。
该组织于2021年首次被发现,此后其目标包括美国、英国、荷兰、塞浦路斯、瑞典、德国、新加坡、香港和澳大利亚的受害者。
根据研究,UNC2970黑客通过电子邮件和WhatsApp与受害者联系,冒充知名公司的招聘人员。他们最终分享了一个恶意软件档案,声称其中有PDF格式的职位描述。
PDF文件只能使用SumatraPDF的木马版本来读取,SumatraPDF是一个真正的开源文档查看器,它通过Burnbook启动器安装了一个名为Mistpen的后门。研究人员透露,攻击者为这次活动更新了旧版SumatraPDF的开源代码,但SumatraPDF服务本身并未受到攻击。UNC2970使用真实的职位描述文本来瞄准受害者,包括在美国关键基础设施部门工作的人。
Mistpen病毒是Notepad++开源文本和源代码编辑器的一个合法插件的分支。研究人员指出,该后门随着时间的推移不断升级,增加了新功能,包括网络连接检查,这让样本分析变得更加复杂。尽管Mandiant没有透露此次攻击的具体受害者,但研究人员认为黑客的目标是高级或经理级员工。
研究人员表示:“这表明威胁者的目的是获取通常仅限于高级员工的敏感和机密信息。”“黑客还会定制他们的恶意消息,以更好地符合受害者的个人资料。”
复杂的网络钓鱼策略
该犯罪团伙采用了复杂的网络钓鱼策略,冒充招聘人员并发送针对高级职位的定制职位描述。
他们的感染链利用受密码保护的ZIP档案,其中包含加密PDF和“SumatraPDF”的木马版本(v3.4.3或更早版本)。
当受害者使用修改后的应用程序打开PDF时,它会触发“BURNBOOK”启动器(恶意libmupdf.dll),该启动器使用带有“32字节密钥”和“12字节随机数”的“ChaCha20”密码解密PDF。
Mandiant表示,BURNBOOK随后通过反射加载将“MISTPEN”后门(一个修改过的Notepad++插件(binhex.dll))加载到SumatraPDF.exe进程中。
为了保持持久性,恶意软件在%APPDATA%\Microsoft\BDE UI Launcher中创建一个名为“Sumatra Launcher”的计划任务,使用“BdeUISrv.exe”并使用恶意“wtsapi32.dll”进行DLL搜索顺序劫持。
MISTPEN有效负载被重新加密并存储在%APPDATA%\Thumbs.ini中以供稍后执行。
这种技术使UNC2970能够绕过安全措施,针对航空航天、能源和核能领域。
该活动并未利用SumatraPDF中的任何漏洞,而是修改其开源代码来传递恶意负载。
MISTPEN是用C语言编写的,其主要功能是下载和执行可移植可执行(PE)文件。
后门使用带有特定256位密钥的AES加密来解密令牌,然后使用该令牌访问MicrosoftGraphAPI。
MISTPEN通过HTTPS与Microsoft端点通信,包括login.microsoftonline.com和graph.microsoft.com。
它支持各种命令,例如:-
”d“用于加载和执行PE有效负载。
“e”表示终止。
“f”代表睡眠功能。
”g“用于更新其配置。
后门可以读取和写入其设置到名为“setup.bin”的文件中,从而实现持久配置。然而,MISTPEN后门通常与“BURNBOOK”一起传播,后者是一种利用DLL搜索顺序劫持的木马化PDF阅读器。
而“TEARPAGE”是另一个充当加载器的组件,它使用“%APPDATA%\Thumbs.ini”中加密blob中的ChaCha20密码来解密“MISTPEN”。
该恶意软件套件与UNC2970有关联,该组织利用以工作为主题的钓鱼电子邮件针对各个行业和国家的跨国公司。