Noord-Koreaanse hackers richten zich met nieuwe MISTPEN-malware op energie- en lucht- en ruimtevaartindustrieën

Er is vastgesteld dat een cyberespionagegroep met banden met Noord-Korea phishing-trucs met een specifiek doel gebruikt om potentiële slachtoffers in de energie- en luchtvaartsector te lokken. Vervolgens infecteren ze hen met een nog niet eerder gedocumenteerde achterdeur met de naam MISTPEN.

Het activiteitencluster wordt bijgehouden door Mandiant, eigendom van Google, onder de naam UNC2970die volgens het bedrijf overlapt met een dreigingsgroep die bekendstaat als TEMP.Hermit, die ook wel bekendstaat als Lazarus Group of Diamond Sleet (voorheen Zinc).

De dreigingsactor heeft een geschiedenis van het aanvallen van overheden, defensie, telecommunicatie en financiële instellingen wereldwijd sinds ten minste 2013 om strategische inlichtingen te verzamelen die de belangen van Noord-Korea dienen. Het is gelieerd aan het Reconnaissance General Bureau (RGB).

Het dreigingsinformatiebureau meldde dat UNC2970 verschillende entiteiten in de VS, het VK, Nederland, Cyprus, Zweden, Duitsland, Singapore, Hongkong en Australië als doelwit heeft.

“UNC2970 richt zich op slachtoffers onder het mom van vacatures, waarbij het zich voordoet als recruiter voor vooraanstaande bedrijven”, staat in een nieuwe analyse. Ook worden functiebeschrijvingen gekopieerd en aangepast op basis van het profiel van de slachtoffers.

“Bovendien richten de gekozen functiebeschrijvingen zich op werknemers op senior-/managerniveau. Dit suggereert dat de dreigingsactor toegang wil krijgen tot gevoelige en vertrouwelijke informatie die doorgaans is beperkt tot werknemers op hoger niveau.”

De aanvalsketen, ook bekend als Operation Dream Job, maakt gebruik van spear-phishing-lokmiddelen om via e-mail en WhatsApp contact te leggen met slachtoffers. Op die manier proberen ze vertrouwen op te bouwen. Vervolgens wordt er een schadelijk ZIP-archiefbestand verzonden dat eruitziet als een functiebeschrijving.

In een interessante wending kan het PDF-bestand van de beschrijving alleen worden geopend met een trojan-versie van een legitieme PDF-lezertoepassing genaamd Sumatra PDF, die in het archief is opgenomen om MISTPEN te leveren via een launcher met de naam BURNBOOK.

MISTPEN-malware

Het is het vermelden waard dat dit niet duidt op een supply chain-aanval en dat er ook geen kwetsbaarheid in de software zit. In plaats daarvan is vastgesteld dat de aanval gebruikmaakt van een oudere Sumatra PDF-versie die is hergebruikt om de infectieketen te activeren.

Dit is een beproefde methode die de hackersgroep al in 2022 toepast. Zowel Mandiant als Microsoft benadrukken het gebruik van een breed scala aan opensourcesoftware, waaronder PuTTY, KiTTY, TightVNC, Sumatra PDF Reader en het installatieprogramma voor de software muPDF/Subliminal Recording voor deze aanvallen.

Er wordt aangenomen dat de kwaadwillenden de slachtoffers opdracht geven om het PDF-bestand te openen met behulp van het meegeleverde PDF-viewerprogramma. Op die manier wordt de uitvoering van een schadelijk DLL-bestand geactiveerd, een C/C++-launcher met de naam BURNBOOK.

“Dit bestand is een dropper voor een ingebedde DLL, ‘wtsapi32.dll,’ die wordt bijgehouden als TEARPAGE en wordt gebruikt om de MISTPEN-backdoor uit te voeren nadat het systeem opnieuw is opgestart,” aldus onderzoekers van Mandiant. “MISTPEN is een trojan-versie van een legitieme Notepad++-plugin, binhex.dll, die een backdoor bevat.”

TEARPAGE, een loader die is ingebed in BURNBOOK, is verantwoordelijk voor het decoderen en starten van MISTPEN. MISTPEN is een lichtgewicht implantaat geschreven in C en is uitgerust om Portable Executable (PE) bestanden te downloaden en uit te voeren die zijn opgehaald van een command-and-control (C2) server. Het communiceert via HTTP met de volgende Microsoft Graph URL’s.

Mandiant zei ook dat het oudere BURNBOOK- en MISTPEN-artefacten ontdekte, wat suggereert dat ze iteratief worden verbeterd om meer mogelijkheden toe te voegen en het onder de radar te laten vliegen. De vroege MISTPEN-samples hebben ook gecompromitteerde WordPress-websites gebruikt als C2-domeinen.

“De kwaadwillende partij heeft zijn malware in de loop van de tijd verbeterd door nieuwe functies te implementeren en een controle op de netwerkconnectiviteit toe te voegen om de analyse van de samples te belemmeren”, aldus de onderzoekers.

Thijs Van der Does