Eine mit Nordkorea verbundene Cyberspionagegruppe wurde dabei beobachtet, wie sie Jobangebote als Köder für Phishing-Angriffe einsetzt, um potenzielle Opfer in den Bereichen Energie und Luft- und Raumfahrt ins Visier zu nehmen und sie mit einer zuvor nicht dokumentierten Backdoor namens MISTPEN zu infizieren.
Die Aktivitätsgruppe wird von dem zu Google gehörenden Unternehmen Mandiant unter dem Namen UNC2970 verfolgt. Laut Mandiant überschneidet sich die Gruppe mit einer Bedrohungsgruppe namens TEMP.Hermit, die auch allgemein als Lazarus Group oder Diamond Sleet (früher Zinc) bekannt ist.
Der Bedrohungsakteur hat seit mindestens 2013 eine Vorgeschichte bei der Ausrichtung auf Regierungs-, Verteidigungs-, Telekommunikations- und Finanzinstitute weltweit, um strategische Informationen zu sammeln, die nordkoreanischen Interessen dienen. Er wird mit dem Reconnaissance General Bureau (RGB) in Verbindung gebracht.
Das Unternehmen für Bedrohungsinformationen sagte, es habe beobachtet, wie UNC2970 verschiedene Unternehmen in den USA, Großbritannien, den Niederlanden, Zypern, Schweden, Deutschland, Singapur, Hongkong und Australien ins Visier genommen hat.
„UNC2970 gibt sich gegenüber Opfern als Personalvermittler für bekannte Unternehmen aus und täuscht Stellenangebote vor“, hieß es in einer neuen Analyse. Weiter heißt es, dass die Gruppe Stellenbeschreibungen entsprechend der Profile ihrer Zielpersonen kopiert und verändert.
„Darüber hinaus richten sich die ausgewählten Stellenbeschreibungen an Mitarbeiter auf der Ebene von Führungskräften und Managern. Dies deutet darauf hin, dass der Bedrohungsakteur darauf abzielt, sich Zugang zu sensiblen und vertraulichen Informationen zu verschaffen, die in der Regel nur Mitarbeitern auf höherer Ebene zugänglich sind.“
Die Angriffsketten, auch bekannt als Operation Dream Job, beinhalten den Einsatz von Spear-Phishing-Ködern, um mit Opfern per E-Mail und WhatsApp in Kontakt zu treten und Vertrauen aufzubauen, bevor eine bösartige ZIP-Archivdatei verschickt wird, die als Stellenbeschreibung getarnt ist.
Interessanterweise kann die PDF-Datei mit der Beschreibung nur mit einer trojanisierten Version einer legitimen PDF-Reader-Anwendung namens Sumatra PDF geöffnet werden, die im Archiv enthalten ist, um MISTPEN mithilfe eines Launchers namens BURNBOOK einzuschleusen.
Es ist erwähnenswert, dass dies weder einen Supply-Chain-Angriff impliziert, noch liegt eine Schwachstelle in der Software vor. Vielmehr wurde festgestellt, dass der Angriff eine ältere Sumatra-PDF-Version verwendet, die so umfunktioniert wurde, dass sie die Infektionskette aktiviert.
Dies ist eine bewährte Methode, die von der Hackergruppe bereits 2022 angewandt wurde. Sowohl Mandiant als auch Microsoft wiesen auf die Verwendung einer breiten Palette von Open-Source-Software für diese Angriffe hin, darunter PuTTY, KiTTY, TightVNC, Sumatra PDF Reader und der Software-Installer muPDF/Subliminal Recording.
Es wird vermutet, dass die Bedrohungsakteure die Opfer wahrscheinlich anweisen, die PDF-Datei mit dem beigefügten, manipulierten PDF-Viewer-Programm zu öffnen, um die Ausführung einer bösartigen DLL-Datei auszulösen, einem C/C++-Launcher namens BURNBOOK.
„Diese Datei ist ein Dropper für eine eingebettete DLL, ‚wtsapi32.dll‘, die als TEARPAGE verfolgt wird und dazu dient, die MISTPEN-Backdoor nach dem Neustart des Systems auszuführen“, so die Mandiant-Forscher. „MISTPEN ist eine trojanisierte Version eines legitimen Notepad++-Plugins, binhex.dll, das eine Backdoor enthält.“
TEARPAGE, ein in BURNBOOK eingebetteter Loader, ist für die Entschlüsselung und den Start von MISTPEN verantwortlich. MISTPEN, ein in C geschriebenes, leichtgewichtiges Implantat, ist in der Lage, Portable Executable (PE)-Dateien herunterzuladen und auszuführen, die von einem Command-and-Control (C2)-Server abgerufen werden. Es kommuniziert über HTTP mit den folgenden Microsoft Graph URLs.
Mandiant sagte auch, dass es ältere BURNBOOK- und MISTPEN-Artefakte entdeckt habe, was darauf hindeutet, dass sie iterativ verbessert werden, um mehr Funktionen hinzuzufügen und es ihnen zu ermöglichen, unter dem Radar zu fliegen. Die frühen MISTPEN-Samples haben auch kompromittierte WordPress-Websites als C2-Domains verwendet.