กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือเชื่อว่าอยู่เบื้องหลังแคมเปญมัลแวร์ใหม่ที่ใช้ประกาศรับสมัครงานปลอมบน LinkedIn เพื่อหลอกล่อเหยื่อ
กลุ่มดังกล่าวโพสต์งานหลอกลวงในสื่อ เทคโนโลยี และภาคส่วนสนับสนุนภายใต้หน้ากากของนายหน้าที่ถูกกฎหมาย พวกเขายังเลียนแบบ The New York Times ในโฆษณาอีกด้วย
Mandiant บริษัทข่าวกรองด้านภัยคุกคาม (เปิดในแท็บใหม่) ได้ค้นพบว่าแคมเปญดังกล่าวเริ่มทำงานตั้งแต่เดือนมิถุนายน 2022 โดยเชื่อว่ามีความเชื่อมโยงกับแคมเปญมัลแวร์อื่นที่มาจากเกาหลีเหนือ นำโดยกลุ่ม Lazarus ที่น่าอับอายและฉาวโฉ่ ซึ่งรู้จักกันในนาม " ปฏิบัติการงานในฝัน". " ที่ละเมิดระบบที่เป็นของผู้ใช้ crypto
ฟิชชิ่งสำหรับเหยื่อ
ในส่วนของ Mandiant เชื่อว่าแคมเปญใหม่นี้มาจากกลุ่มที่แยกจาก Lazarus และมีลักษณะพิเศษตรงที่มัลแวร์ TouchMove, SideShow และ TouchShift ไม่เคยถูกใช้ในการโจมตีมาก่อน
หลังจากที่ผู้ใช้ตอบกลับประกาศรับสมัครงานของ LinkedIn แฮ็กเกอร์ก็ดำเนินการต่อใน WhatsApp โดยแชร์เอกสาร Word ที่มีมาโครอันตรายซึ่งติดตั้งโทรจันจากเว็บไซต์ WordPress ที่แฮ็กเกอร์แฮ็กและใช้เป็นศูนย์ควบคุม
โทรจันนี้อิงจาก TightVNC และรู้จักในชื่อ LidShift ซึ่งจะดาวน์โหลดปลั๊กอิน Notepad++ ที่เป็นอันตรายซึ่งดาวน์โหลดมัลแวร์ที่เรียกว่า LidShot ซึ่งจะปรับใช้เพย์โหลดสุดท้ายกับอุปกรณ์: ประตูล่องหน PlankWalk
หลังจากนั้น แฮ็กเกอร์ใช้ Dropper มัลแวร์ชื่อ TouchShift ซึ่งซ่อนอยู่ในไฟล์ไบนารีของ Windows สิ่งนี้จะโหลดเนื้อหาที่เป็นอันตรายเพิ่มเติมจำนวนมาก รวมถึง TouchShot และ TouchKey โปรแกรมอรรถประโยชน์ภาพหน้าจอและคีย์ล็อกเกอร์ตามลำดับ ตลอดจนการเรียก Payload TouchMove
นอกจากนี้ยังโหลดแบ็คดอร์อีกตัวที่เรียกว่า SideShow ซึ่งช่วยให้สามารถควบคุมระบบโฮสต์ในระดับสูง เช่น ความสามารถในการแก้ไขรีจิสทรี เปลี่ยนการตั้งค่าไฟร์วอลล์ และเรียกใช้เพย์โหลดเพิ่มเติม
แฮ็กเกอร์ยังใช้มัลแวร์ CloudBurst กับบริษัทที่ไม่ได้ใช้ VPN โดยใช้บริการการจัดการปลายทาง Microsoft Intune ในทางที่ผิด
นอกจากนี้ แฮ็กเกอร์ยังใช้ข้อบกพร่องแบบ Zero-day ในไดรเวอร์ ASUS "Driver7.sys" ซึ่งใช้โดยเพย์โหลดอื่นที่เรียกว่า LightShow เพื่อแพตช์รูทีนเคอร์เนลในซอฟต์แวร์ป้องกันปลายทางเพื่อหลีกเลี่ยงการตรวจจับ ข้อบกพร่องนี้ได้รับการแก้ไขแล้ว