Доставка на целевые компьютеры осуществлялась в рамках кампании «работа мечты» с использованием социальной инженерии.
В последнем отчёте компании Mandiant было выявлено, что северокорейская шпионская группа, отслеживаемая под идентификатором UNC2970, с июня 2022 года использует ранее незадокументированные семейства вредоносных программ в рамках целевой фишинговой кампании, нацеленной на СМИ и технологические организации в Америке и Европе.
Mandiant заявила, что кластер угроз «многократно пересекается» с длительной операцией, получившей название «Dream Job» («Работа мечты»). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.
Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть полезная нагрузка.
Создание плацдарма в скомпрометированных средах достигается с помощью бэкдора на основе C++, известного как PLANKWALK, который затем прокладывает путь для распространения дополнительных инструментов, таких как:
- TOUCHHIFT — дроппер вредоносных программ, загружающий как кейлоггеры и утилиты для создания скриншотов, так и полнофункциональные бэкдоры.
- TOUCHSHOT — программа, которая делает снимок экрана каждые три секунды.
- TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные из буфера обмена.
- HOOKSHOT — инструмент туннелирования, который подключается через TCP для связи с C2-сервером.
- TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине.
- SIDESHOW — бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим C2-сервером.
Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.
«Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970», — заявили специалисты Mandiant.
