Noord-Koreaanse staatshackers zitten achter een nieuwe phishingcampagne die zich op securityonderzoekers richt.
Dat ontdekten onderzoekers van Mandiant. Volgens de securityaanbieder voeren de Noord-Koreaanse hackers UNC2970 al sinds juni vorig jaar een campagne uit op securityonderzoekers. Met de campagne proberen de hackers drie nieuwe malwarefamilies, Touchmove, Sideshow en Touchshift, te verspreiden. Daarnaast proberen de cybercriminelen ook nieuwe technieken die endpoint detectie-tools moeten omzeilen wanneer de malware actief is in cloudomgevingen van de slachtoffers.
Volgens Mandiant heeft UNC2970 met de nieuwe aanval in de afgelopen maanden vooral media-organisaties in de VS en Europa aangevallen.
Aanvallen via LinkedIn
Dat nu specifiek securityexperts het doelwit vormen, is volgens Mandiant een nieuwe ontwikkeling. Toch heeft de Google-dochter al twee jaar geleden hiervoor gewaarschuwd. De Noord-Koreaanse hackers benaderden deze securityexperts via speciaal opgezette nauwelijks van echt te onderscheiden fake-accounts op LinkedIn. Hierbij doen zij zich voor als recruiters. Ook deze techniek is niet nieuw.
Via de fake LinkedIn-accounts probeert UNC2970 met de slachtoffers, in dit geval dus vooral securityonderzoekers, in contact te komen via WhatsApp. Vervolgens sturen zij een van malware voorzien document direct via de messagingdienst of via e-mail.
Wanneer slachtoffers deze kwaadaardige payload openen, installeert zich de malware en krijgen de hackers C2-toegang. De C2-servers van de Noord-Koreaanse cybercriminelen zijn vaak gecompromitteerde WordPress-sites.
Vaak gebeurt dit via de bekende backdoor PLANKWALK. Nu worden dus ook nieuwe malwarevarianten geïnstalleerd, maar bijvoorbeeld ook de remote desktopmalware TightVNC. TightVNC is weer een variant van de LIDSHIFT-malware.
Beschermingsmogelijkheden
Bedrijven kunnen zich volgens Mandiant wapenen tegen dit soort aanvallen door een aantal maatregelen te nemen. Denk aan het invoeren van multi-factor authenticatie en het aanmaken van specifieke ‘cloud-only-accounts voor toegang tot Azure Active Directory.
Ook een aparte account voor het versturen van e-mail, web browsing en gelijkwaardige activiteiten zou handig zijn, evenals een speciale admin-account voor het uitvoeren van gevoelige admin-werkzaamheden.
Andere mogelijke beschermingsmaatregelen zijn het blokkeren van macro’s, de inzet van geprivigileerd identiteitsbeheer, toegangspolicies op voorwaarden en meer securityrestricties in Azure AD. Ook het vereisen van meerdere admins voor het goedkeuren van InTune-transacties wordt aanbevolen.
Lees ook: Informatie uit threat intelligence weinig gebruikt in securitybeslissingen
18 minuten geleden
