Fake Job Lures Target Employees of Aerospace, Energy Firms
In einer alarmierenden Entwicklung hat eine nordkoreanische Cyberespionagegruppe Mitarbeiter aus der Luft- und Raumfahrt- sowie der Energiebranche mit gefälschten Stellenangeboten ins Visier genommen. Laut Mandiant nutzen die Hacker E-Mails und WhatsApp-Nachrichten, um ihre Opfer dazu zu bringen, auf einen Link zu klicken, der Backdoor-Malware auf ihren Geräten installiert.
Wichtige Erkenntnisse
- Die Gruppe, bekannt als UNC2970, hat gezielt Mitarbeiter von Unternehmen wie BAE Systems angesprochen.
- Die Angreifer verwenden maßgeschneiderte Stellenbeschreibungen, die in einem schädlichen Archiv gespeichert sind.
- Die Malware, die sie einsetzen, wird als MISTPEN bezeichnet und ist eine modifizierte Version eines Notepad++-Plugins.
Die Taktiken Der Angreifer
Mandiant berichtete, dass die Angreifer zunächst per E-Mail Kontakt mit den Opfern aufnahmen und dann die Konversation auf WhatsApp verlagerten. Dort wurden detaillierte Stellenbeschreibungen versendet, die speziell auf die jeweilige Rolle des Opfers zugeschnitten waren. Diese Beschreibungen waren im PDF-Format und konnten nur mit einer Trojaner-Version von SumatraPDF geöffnet werden, die im Archiv enthalten war.
Die Gruppe hat in der Vergangenheit LinkedIn für ähnliche Phishing-Angriffe genutzt. Im März 2023 gab es Berichte, dass UNC2970 sich als Recruiter für renommierte Medienorganisationen ausgab, um Opfer dazu zu bringen, schädliche Dateien zu öffnen.
Technische Details Der Malware
In der jüngsten Kampagne verwendete die Gruppe ältere Versionen von SumatraPDF, um die Backdoor-Malware MISTPEN zu verbreiten. Diese Malware wird durch eine modifizierte DLL-Datei aktiviert, die als Launcher fungiert. Die Angreifer haben keinen direkten Exploit in SumatraPDF verwendet, sondern einen Thread in die DllMain-Funktion eingefügt, um schädlichen Code auszuführen.
Die Malware nutzt eine legitime DLL-Datei, um eine weitere schädliche DLL zu laden, die nach einem Neustart des Systems ausgeführt wird. Neuere Versionen von SumatraPDF verhindern, dass Benutzer modifizierte Versionen der legitimen DLL laden, was die Angreifer zwingt, ältere Versionen zu verwenden.
Zunehmende Bedrohung Durch Nordkoreanische Angreifer
Die nordkoreanischen Cyberangriffe auf westliche Organisationen haben in den letzten Jahren zugenommen, insbesondere seit Kim Jong Un Pläne zur Modernisierung des Militärs und der Industrie des Landes angekündigt hat. Im Juni 2024 warnten mehrere Sicherheitsbehörden, darunter die National Intelligence Service von Südkorea und die FBI, vor gezielten Angriffen auf die Verteidigungs-, Luftfahrt- und Energiesektoren.
Die UNC2970-Gruppe hat signifikante Überschneidungen mit anderen nordkoreanischen Hackergruppen, was darauf hindeutet, dass sie Ressourcen und Malware-Tools untereinander teilen. Diese Angriffe sind Teil einer breiteren Strategie, um westliche Technologien zu stehlen und die militärischen Ambitionen des Regimes voranzutreiben.
Fazit
Die aktuellen Entwicklungen verdeutlichen die Notwendigkeit für Unternehmen in der Luft- und Raumfahrt sowie im Energiesektor, ihre Sicherheitsvorkehrungen zu verstärken. Die Bedrohung durch nordkoreanische Cyberangriffe bleibt hoch, und es ist entscheidend, dass Mitarbeiter über die Risiken von Phishing und anderen Cyberangriffen informiert werden.
Quellen
- Fake Job Lures Target Employees of Aerospace, Energy Firms, BankInfoSecurity.