В последние месяцы Microsoft обнаружила широкий спектр социально-инженерных кампаний с использованием легитимного программного обеспечения с открытым исходным кодом, созданного агентом, которого отслеживаем как ZINC. Центр разведки угроз Microsoft (MSTIC) наблюдал активность, направленную на сотрудников организаций различных отраслей, включая СМИ, оборонную и аэрокосмическую промышленность, а также ИТ-услуги в США, Великобритании, Индии и России.
Основываясь на наблюдаемых методах работы, инфраструктуре, инструментарии и принадлежности учетных записей, MSTIC с высокой степенью уверенности приписывает эту кампанию ZINC, спонсируемой государством группе, базирующейся в Северной Корее, цели которой направлены на шпионаж, кражу данных, получение финансовой выгоды и разрушение сети.
Начиная с июня 2022 года, ZINC использовала традиционную тактику социальной инженерии, первоначально связываясь с людьми через LinkedIn, чтобы установить уровень доверия со своими целями. После успешного установления связи ZINC предлагал продолжить общение через WhatsApp, который выступал в качестве средства доставки вредоносной полезной нагрузки.
MSTIC наблюдал, как ZINC использовал для этих атак широкий спектр открытого программного обеспечения, включая PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording. Было замечено, что ZINC пыталась двигаться вбок и выкачивать собранную информацию из сетей жертв. С июня 2022 года злоумышленники успешно скомпрометировали множество организаций. О продолжающейся кампании, связанной с использованием PuTTY, также сообщалось компанией Mandiant ранее в этом месяце. Из-за широкого использования платформ и программного обеспечения, которые ZINC применяет в этой кампании, ZINC может представлять значительную угрозу для отдельных лиц и организаций в различных секторах и регионах.
Indicators of Compromise
IPv4
- 137.184.15.189
- 172.93.201.253
- 44.238.74.84
URLs
- http://cats.runtimerec.com/db/dbconn.php
- http://elite4print.com/support/support.asp
- http://hurricanepub.com/include/include.php
- http://olidhealth.com/wp-includes/php-compat/compat.php
- http://recruitment.raystechserv.com/lib/artichow/BarPlotDashboard.object.php
- http://turnscor.com/wp-includes/contacts.php
SHA256
- 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266
- 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745
- 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334
- 63cddab76e9d63e3cbea421b607342735d924e462c40f3917b1b5fbdf8d4a20d
- 71beb4252e93291c7b14dfcb4cbb5d58144a76181fbe4aab3592121a3dbd9c55
- aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9
- c5a470cdf6f57125a8671f6b8843149cc78ccbc1a7bc615f34b23d9f241312bf
- e1ecf0f7bd90553baaa83dcdc177e1d2b20d6ee5520f5d9b44cdf59389432b10