Een vermoedelijke Noord-Koreaanse hackgroep richt zich op beveiligingsonderzoekers en media in de Verenigde Staten en Europa met behulp van valse vacatures op LinkedIn.
Spear phishing-tactieken, die thema’s voor zakelijke vereisten gebruiken, worden gebruikt om drie nieuwe families van aangepaste malware in te zetten, Touchmove, Sideshow en Touchshift, volgens een Mandiant-blogpost.
Cybercriminelen lanceren de aanval door doelwitten op LinkedIn te benaderen, zich voor te doen als recruiters en naar WhatsApp te gaan om een Word-document met schadelijke malware te delen.
Deze malware is ontworpen om op afstand sjablooninjectie uit te voeren die schadelijke code kan ophalen van gecompromitteerde WordPress-sites, die aanvallers gebruiken als command-and-control-servers. Deze worden vervolgens gebruikt om een hook tot stand te brengen voor een payload die zichzelf vermomt als een legitiem Windows-binair bestand. Dit wordt vervolgens gebruikt om een achterdeur genaamd TouchShot op het apparaat van het slachtoffer te laden.
(Abonneer u voor het laatste technische nieuws van de dag op onze Today’s Cache tech-nieuwsbrief)
Aanvallers gebruiken deze tactiek om willekeurige code uit te voeren, het register te wijzigen, firewall-instellingen te manipuleren, geplande taken toe te voegen en extra payloads uit te voeren.
In gevallen waarin apparaten van slachtoffers waren verbonden met organisaties die geen VPN’s gebruikten, bleken bedreigingsactoren misbruik te maken van Microsoft Intune om nieuwe aanvallen uit te voeren.
De geïdentificeerde tools benadrukken de voortdurende inzet van malware door bedreigingsactoren. “Hoewel de groep zich eerder richtte op de defensie-, media- en technologie-industrie, suggereert de aanval op beveiligingsonderzoekers een verschuiving in strategie of uitbreiding van haar activiteiten”, aldus de post.