18 de septiembre de 2024Ravie LakshmananEspionaje cibernético / Malware Se ha observado que un grupo de espionaje cibernético vinculado a Corea del Norte aprovecha señuelos de phishing con temática laboral para apuntar a posibles víctimas en los sectores de la energía y la aeroespacial e infectarlas con una puerta trasera previamente no documentada denominada MISTPEN. El grupo de actividades está siendo rastreado por Mandiant, propiedad de Google, bajo el apodo UNC2970, que según dijo se superpone con un grupo de amenazas conocido como TEMP.Hermit, que también se llama ampliamente Lazarus Group o Diamond Sleet (anteriormente Zinc). El actor de amenazas tiene un historial de apuntar a instituciones gubernamentales, de defensa, de telecomunicaciones y financieras en todo el mundo desde al menos 2013 para recopilar inteligencia estratégica que promueva los intereses de Corea del Norte. Está afiliado a la Oficina General de Reconocimiento (RGB). La firma de inteligencia de amenazas dijo que ha observado que UNC2970 selecciona varias entidades ubicadas en los EE. UU., el Reino Unido, los Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia. «UNC2970 ataca a las víctimas bajo la apariencia de ofertas de trabajo, haciéndose pasar por un reclutador de empresas importantes», dijo en un nuevo análisis, agregando que copia y modifica las ofertas de trabajo legítimas de acuerdo con sus perfiles objetivo. «Además, las descripciones de trabajo elegidas apuntan a empleados de nivel superior/gerente. Esto sugiere que el actor de la amenaza tiene como objetivo obtener acceso a información sensible y confidencial que generalmente está restringida a los empleados de nivel superior». Las cadenas de ataque, también conocidas como Operation Dream Job, implican el uso de señuelos de phishing para interactuar con las víctimas por correo electrónico y WhatsApp en un intento de generar confianza, antes de enviarles un archivo ZIP malicioso disfrazado de descripción de trabajo. En un giro interesante, el archivo PDF de la descripción solo se puede abrir con una versión troyanizada de una aplicación legítima de lectura de PDF llamada Sumatra PDF incluida en el archivo para entregar MISTPEN por medio de un lanzador conocido como BURNBOOK. Vale la pena señalar que esto no implica un ataque a la cadena de suministro ni existe una vulnerabilidad en el software. Más bien, se ha descubierto que el ataque emplea una versión anterior de Sumatra PDF que se ha reutilizado para activar la cadena de infección. Este es un método probado y adoptado por el grupo de piratas informáticos desde 2022, y tanto Mandiant como Microsoft destacan el uso de una amplia gama de software de código abierto, incluidos PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording para estos ataques. Se cree que los actores de la amenaza probablemente instruyen a las víctimas para que abran el archivo PDF utilizando el programa de visualización de PDF armado adjunto para activar la ejecución de un archivo DLL malicioso, un lanzador C/C++ llamado BURNBOOK. «Este archivo es un dropper para una DLL incrustada, ‘wtsapi32.dll’, que se rastrea como TEARPAGE y se utiliza para ejecutar la puerta trasera MISTPEN después de que se reinicia el sistema», dijeron los investigadores de Mandiant. «MISTPEN es una versión troyanizada de un complemento legítimo de Notepad++, binhex.dll, que contiene una puerta trasera». TEARPAGE, un cargador integrado en BURNBOOK, es responsable de descifrar y ejecutar MISTPEN. Un implante ligero escrito en C, MISTPEN está equipado para descargar y ejecutar archivos ejecutables portátiles (PE) recuperados de un servidor de comando y control (C2). Se comunica a través de HTTP con las siguientes URL de Microsoft Graph. Mandiant también dijo que descubrió artefactos BURNBOOK y MISTPEN más antiguos, lo que sugiere que se están mejorando iterativamente para agregar más capacidades y permitirles pasar desapercibidos. Las primeras muestras de MISTPEN también se han descubierto utilizando sitios web WordPress comprometidos como dominios C2. «El actor de amenazas ha mejorado su malware con el tiempo implementando nuevas funciones y añadiendo una comprobación de la conectividad de la red para dificultar el análisis de las muestras», afirmaron los investigadores. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.