لوحظت مجموعة تجسس كورية شمالية تم تتبعها باسم UNC2970 وهي تستخدم عائلات برمجيات خبيثة غير مسجلة سابقًا كجزء من حملة التصيد بالرمح التي تستهدف وسائل الإعلام الأمريكية والأوروبية ومؤسسات التكنولوجيا منذ يونيو 2022.
قال مانديانت المملوك لشركة جوجل إن مجموعة التهديدات تشترك في "تداخلات متعددة" مع عملية طويلة الأمد أطلق عليها اسم " Dream Job " تستخدم إغراءات التوظيف في رسائل البريد الإلكتروني لإطلاق تسلسل العدوى.
UNC2970 هو اللقب الجديد المعين من قبل شركة استخبارات التهديدات لمجموعة من الأنشطة السيبرانية لكوريا الشمالية التي ترتبط بـ UNC577 (المعروفة أيضًا باسم Temp.Hermit ) ، والتي تضم أيضًا مجموعة تهديد ناشئة أخرى تم تتبعها باسم UNC4034.
استلزم نشاط UNC4034 ، كما تم توثيقه من قبل Mandiant في سبتمبر 2022 ، استخدام WhatsApp للهندسة الاجتماعية للأهداف لتنزيل باب خلفي يسمى AIRDRY.V2 بحجة مشاركة اختبار تقييم المهارات.
قال باحثو مانديانت في تحليل مفصل من جزأين ، "إن UNC2970 لديه جهود متضافرة نحو التشويش ويستخدم طرقًا متعددة للقيام بذلك في جميع أنحاء سلسلة التسليم والتنفيذ بأكملها" ، مضيفًا أن الجهد المستهدف على وجه التحديد الباحثين الأمنيين.
Temp.Hermit هي واحدة من وحدات القرصنة الأساسية المرتبطة بالمكتب العام للاستطلاع في كوريا الشمالية (RGB) جنبًا إلى جنب مع Andariel و APT38 (المعروف أيضًا باسم BlueNoroff). يشار إلى مجموعات الممثلين الثلاثة مجتمعة باسم Lazarus Group (المعروف أيضًا باسم Hidden Cobra أو Zinc).
"TEMP.Hermit هو ممثل موجود منذ 2013 على الأقل ،" أشار مانديانت في تقرير مارس 2022. "عملياتهم منذ ذلك الوقت تمثل جهود بيونغ يانغ لجمع معلومات استخبارية استراتيجية لصالح مصالح كوريا الشمالية".
تتميز أحدث مجموعة من هجمات UNC2970 بالاقتراب المبدئي من المستخدمين مباشرة على LinkedIn باستخدام حسابات مزيفة "جيدة التصميم ومهنية برعاية" تتظاهر بأنها مجنِّدون.
يتم تحويل المحادثة لاحقًا إلى WhatsApp ، وبعد ذلك يتم تسليم حمولة التصيد إلى الهدف تحت ستار وصف الوظيفة.
في بعض الحالات ، تمت ملاحظة سلاسل الهجوم هذه لنشر إصدارات تروجانات من TightVNC (المسمى LIDSHIFT) ، والتي تم تصميمها لتحميل حمولة المرحلة التالية المسمى LIDSHOT القادرة على تنزيل وتنفيذ كود القشرة من خادم بعيد.
يتم تحقيق موطئ قدم داخل البيئات المعرضة للخطر عن طريق باب خلفي قائم على C ++ يُعرف باسم PLANKWALK والذي يمهد الطريق بعد ذلك لتوزيع أدوات إضافية مثل -
- TOUCHSHIFT - أداة قطارة للبرامج الضارة تقوم بتحميل برامج ضارة للمتابعة تتراوح من أدوات تسجيل لوحة المفاتيح وأدوات لقطة الشاشة إلى الأبواب الخلفية كاملة الميزات
- TOUCHSHOT - برنامج تم تكوينه لالتقاط لقطة شاشة كل ثلاث ثوانٍ
- TOUCHKEY - أداة تسجيل المفاتيح التي تلتقط ضغطات المفاتيح وبيانات الحافظة
- HOOKSHOT - أداة نفق تتصل عبر TCP للتواصل مع خادم القيادة والتحكم (C2)
- TOUCHMOVE - محمل مصمم لفك تشفير وتنفيذ حمولة على الجهاز
- SIDESHOW - باب خلفي AC / C ++ يقوم بتشغيل أوامر عشوائية ويتواصل عبر طلبات HTTP POST مع خادم C2 الخاص به
يُقال أيضًا أن UNC2970 قد استفاد من Microsoft Intune ، وهو حل إدارة نقطة النهاية ، لإسقاط برنامج نصي PowerShell مفصل يحتوي على حمولة مشفرة Base64 يشار إليها باسم CLOUDBURST ، وهو باب خلفي قائم على C يتواصل عبر HTTP.
في ما هو الاستخدام المستمر لتقنية إحضار برنامج التشغيل الضعيف الخاص بك ( BYOVD ) من قبل الجهات الفاعلة المتحالفة مع كوريا الشمالية ، تستخدم عمليات الاقتحام أيضًا قطارة في الذاكرة فقط تسمى LIGHTSHIFT تسهل توزيع جزء آخر من البرامج الضارة التي تحمل الاسم الرمزي LIGHTSHOW.
الأداة المساعدة ، إلى جانب اتخاذ خطوات لإعاقة التحليل الديناميكي والثابت ، تسقط إصدارًا شرعيًا من برنامج تشغيل به نقاط ضعف معروفة لإجراء عمليات القراءة والكتابة على ذاكرة kernel ونزع برنامج الأمان المثبت على المضيف المصاب في النهاية.
قال مانديانت: "تسلط أدوات البرامج الضارة التي تم تحديدها الضوء على استمرار تطوير البرامج الضارة ونشر أدوات جديدة بواسطة UNC2970". "على الرغم من أن المجموعة استهدفت سابقًا الصناعات الدفاعية والإعلامية والتقنية ، إلا أن استهداف الباحثين الأمنيين يشير إلى تحول في الاستراتيجية أو توسيع عملياتها".