Es wird angenommen, dass eine nordkoreanische Hacking-Gruppe hinter einer neuen Malware-Kampagne steckt, die gefälschte Stellenangebote auf LinkedIn nutzt, um ihre Opfer anzulocken.
Die Gruppe veröffentlicht gefälschte Stellenangebote in der Medien-, Technologie- und Verteidigungsindustrie unter dem Deckmantel legitimer Personalvermittler. In einer Anzeige gaben sie sich sogar als die New York Times aus.
Threat-Intelligence-Firma Mandiant (öffnet in neuem Tab) entdeckte, dass die Kampagne seit Juni 2022 läuft. Sie glaubt, dass sie mit einer anderen Malware-Kampagne zusammenhängt, die aus Nordkorea stammt und von der berüchtigten Lazarus-Gruppe durchgeführt wird, bekannt als „Operation Dream Job“, die Systeme von Krypto-Benutzern verletzt.
Phishing für Opfer
Mandiant seinerseits glaubt, dass die neue Kampagne von einer separaten Gruppe von Lazarus stammt und insofern einzigartig ist, als die bei den Angriffen verwendete Malware TouchMove, SideShow und TouchShift noch nie zuvor gesehen wurde.
Nachdem ein Benutzer auf das LinkedIn-Stellenangebot geantwortet hat, setzen die Hacker den Prozess auf WhatsApp fort, wo sie ein Word-Dokument mit gefährlichen Makros teilen, die Trojaner von WordPress-Sites installieren, die die Hacker geknackt haben und als ihr Kontrollzentrum verwenden.
Dieser Trojaner, der auf TightVNC basiert und als LidShift bekannt ist, lädt seinerseits ein bösartiges Notepad++-Plugin hoch, das Malware namens LidShot herunterlädt, die dann die endgültige Nutzlast auf dem Gerät bereitstellt: die PlankWalk-Hintertür.
Danach verwenden die Hacker einen Malware-Dropper namens TouchShift, der in einer Windows-Binärdatei versteckt ist. Dadurch wird eine Fülle zusätzlicher schädlicher Inhalte geladen, darunter TouchShot und TouchKey, ein Screenshot-Dienstprogramm bzw. ein Keylogger sowie ein Ladeprogramm namens TouchMove.
Es lädt auch eine weitere Hintertür namens SideShow, die eine umfassende Kontrolle über das System des Hosts ermöglicht, z. B. die Möglichkeit, die Registrierung zu bearbeiten, Firewall-Einstellungen zu ändern und zusätzliche Payloads auszuführen.
Die Hacker verwendeten die CloudBurst-Malware auch bei Unternehmen, die kein VPN verwendeten, indem sie den Endpunktverwaltungsdienst Microsoft Intune missbrauchten.
Darüber hinaus nutzten die Hacker auch einen Zero-Day-Fehler im ASUS-Treiber „Driver7.sys“, der von einer anderen Payload namens LightShow verwendet wird, um Kernel-Routinen in der Endpoint-Schutzsoftware zu patchen, um eine Erkennung zu verhindern. Dieser Fehler wurde inzwischen behoben.