Un gruppo #hacker nordcoreano, identificato come #UNC2970, ha recentemente fatto uso di famiglie di #malware precedentemente non documentate come parte di una campagna di #spear-phishing che ha preso di mira organizzazioni di media e tecnologia negli Stati Uniti ed Europa. Questa è solo l'ultima di una serie di attacchi informatici da parte di attori statali che cercano di acquisire informazioni sensibili o di interrompere le operazioni delle loro vittime. In questo caso, gli obiettivi del gruppo sembrano essere stati le organizzazioni di media e tecnologia, con un focus specifico sui ricercatori di sicurezza.

Questo gruppo fa parte insieme a #Bluenoroff e #AndAdriel al famigerato gruppo #APT #Lazarus.

Secondo una recente analisi di #Mandiant, una società di intelligence delle minacce di proprietà di #Google, il cluster di minacce utilizzato dal gruppo condivide molteplici sovrapposizioni con un'operazione a lungo termine denominata "Dream Job". Questa operazione utilizza messaggi di posta elettronica per innescare la sequenza di infezione. In particolare UNC2970 sembra aver utilizzato #WhatsApp scaricare una #backdoor chiamata AIRDRY.V2 sotto il pretesto di condividere un test di valutazione delle competenze.

Mandiant ha anche scoperto che UNC2970 ha fatto uso di versioni trojanizzate di #TightVNC, chiamate #LIDSHIFT, per caricare un #payload di secondo livello denominato #LIDSHOT in grado di scaricare ed eseguire #shellcode da un server remoto. Per stabilire una presenza all'interno di ambienti compromessi, il gruppo utilizza una backdoor basata su C++ noto come #PLANKWALK che apre la strada alla distribuzione di ulteriori strumenti, tra cui #TOUCHSHIFT, #TOUCHSHOT, #TOUCHKEY, #HOOKSHOT, #TOUCHMOVE e #SIDESHOW.

Mandiant ha anche scoperto che il gruppo ha sfruttato #Microsoft #Intune, una soluzione di gestione degli endpoint, per rilasciare uno script #PowerShell personalizzato contenente un payload codificato in #Base64 denominato #CLOUDBURST, una backdoor basata su C che comunica tramite #HTTP. Inoltre, gli attaccanti hanno utilizzato la tecnica Bring Your Own Vulnerable Driver (#BYOVD) per implementare la loro campagna di attacco. 

Secondo gli esperti di Mandiant, gli strumenti malware utilizzati dal gruppo UNC2970 indicano uno sviluppo continuo di malware e la distribuzione di nuovi strumenti. "Sebbene il gruppo abbia precedentemente preso di mira le industrie della difesa, dei media e della tecnologia, il targeting dei ricercatori di sicurezza suggerisce un cambiamento di strategia o un'espansione delle sue operazioni". Gli attacchi contro i ricercatori di sicurezza sono particolarmente preoccupanti in quanto questi esperti sono spesso al centro della lotta contro il cybercrime e possono rappresentare un ostacolo significativo per gli attori statali che cercano di acquisire informazioni sensibili.

Tweet