Северокорейские хакеры атаковали европейский промышленный гигант через поддельные предложения работы

Атака началась с целевого сообщения в WhatsApp, отправленного инженеру проекта. Злоумышленники представились рекрутерами и предложили вакансию менеджера проектов, приложив к сообщению ZIP-архив с вредоносным содержимым. В архиве находились три файла: поддельный PDF-документ, легитимная программа для просмотра документов SumatraPDF и опасная DLL-библиотека libmupdf.dll.

При открытии PDF-файла легитимное приложение загружало вредоносную библиотеку, что привело к исполнению бэкдора (задней двери) на компьютере жертвы. Аналитики с высокой уверенностью идентифицировали libmupdf.dll как новую версию загрузчика BURNBOOK. Затем злоумышленники получили прямой доступ к системе и в течение шести часов проводили активность, используя взломанные WordPress-сайты с уязвимыми плагинами в качестве инфраструктуры.

Особое внимание специалистов привлекли многочисленные LDAP-запросы к Active Directory для извлечения списков пользователей и компьютеров домена. Впоследствии были скомпрометированы учетная запись резервного копирования и административная учетная запись. Злоумышленники применили технику "pass the hash", используя хэши паролей для доступа без необходимости вводить пароли в открытом виде, что позволило им перемещаться между несколькими серверами в домене.

После успешного перемещения по сети атакующие попытались установить дополнительную вредоносную нагрузку на несколько устройств. Этот модуль, TSVIPsrv.dll, расшифровывал и исполнял в памяти файл wordpad.dll.mui, который затем устанавливал соединение со скомпрометированными SharePoint-серверами для управления командованием и контролем. Эксперты оценивают TSVIPsrv.dll как новую версию бэкдора MISTPEN.

Данный инцидент соответствует давней кампании Operation DreamJob, которую связывают с северокорейскими хакерами. Впервые о подобных атаках стало известно еще в 2016 году, когда целевые фишинговые письма рассылались от имени поддельных рекрутеров. С тех пор тактика и инструменты постоянно развивались: от документов со злонамеренными макросами до сложных цепочек заражения с использованием поддельных PDF-ридеров.

Operation DreamJob отличается от других северокорейских кампаний, таких как Contagious Interview и Wagemole, своей долгосрочностью и постоянным обновлением арсенала. За последнее десятилетие исследователи обнаружили множество связанных с этой кампанией вредоносных семейств, включая DeathNote, NickelLoader и ForestTiger.

Особую озабоченность экспертов вызывает использование злоумышленниками троянизированных открытых проектов, таких как плагины для Notepad++ или программы просмотра PDF. Это позволяет эффективно обходить системы защиты, поскольку только часть нового исполняемого файла является вредоносной. Среди наиболее часто используемых PDF-ридеров исследователи отмечают Aloha PDF Reader, muPDF и SumatraPDF.

Атрибуция данной атаки осложняется сложной структурой северокорейских APT-групп (Advanced Persistent Threat - целенаправленная усовершенствованная постоянная угроза). UNC2970, которой приписывают эту атаку, связана с кластером TEMP.Hermit, также известным как LABYRINTH CHOLLIMA и Diamond Sleet. Термин Lazarus, часто появляющийся в отчетах об Operation DreamJob, обозначает размытый кластер различных активностей, связанных с КНДР.

Интересно, что подобные атаки с использованием поддельных предложений работы проводят не только северокорейские хакеры. Иранские группировки IMPERIAL KITTEN, CHARMING KITTEN и REFINED KITTEN также используют схожие методы против организаций в Европе и на Ближнем Востоке. Исследователи из ClearSky даже предположили, что сходство между иранскими и северокорейскими атаками может свидетельствовать о попытке иранских хакеров имитировать Lazarus для сокрытия своей деятельности.

Для защиты от подобных угроз специалисты рекомендуют организациям усилить контроль за входящими сообщениями в мессенджерах, внедрить строгие политики запуска приложений и регулярно обновлять системы для устранения уязвимостей в плагинах и расширениях.

Domains

• aerm-my.sharepoint.com
• alex2moe-my.sharepoint.com
• cseabrahamlincoln-my.sharepoint.com
• diakoffice-my.sharepoint.com
• isiswauitmedu-my.sharepoint.com

SHA256

• 083d4a4ef6267c9a0ab57f1e5a2ed45ff67a0b4db83bbd43563458a223781120
• 0fdd97a597380498f6b2d491f8f50da8f903def4ea6e624b89757456c287f92d
• 4eeec453e42c2898e2e9870bbee273834aeb8cdde8c826c036f9a7d0b568a25d
• 7b4cb382b364389c3bd1f4736411de17ceb213a7792733ae5dd90c8b01b4191f
• aefc12b500b58fbc09ebbf34fe64b34cb32a27513478f4769447280ad23af4d2
• e3e0a87e18de05c4abb95fc21f22d6c9c367eb207dbbf2dd092673656caf7661
• ec5d14ca011ba8c12f4d51b0d463cf51051feaf1655c7f709dce3ffa625dfcf6
• f5873ecd60390e7b86db5ddaf158ed201b386be26ad80af8a7da3576446520b8

URLs

• https://coralsunmarine.com/wp-content/themes/flatsome/inc/functions/function-hand.php
• https://kutahyasmmmo.org/wp-content/mu-plugins/natro/external_plugins/easy-wp-smtp/easy-wp-smtp-menu.php
• https://tours-albatros.es/wp-content/plugins/soliloquy-lite/includes/global/skin.php

• Navigating_Operation_DreamJob_s_arsenal.pdf