แฮกเกอร์ชาวเกาหลีเหนือโจมตีอุตสาหกรรมพลังงานและอวกาศด้วยมัลแวร์ MISTPEN
สรุปข้อมูล
พบกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ UNC2970 กำหนดเป้าการโจมตีไปยังอุตสาหกรรมพลังงานและอวกาศ เพื่อติดตั้งมัลแวร์ที่ชื่อว่า MISTPEN ซึ่งกลุ่มแฮกเกอร์จะปลอมตัวเป็นผู้จัดหางานให้กับบริษัทชั้นนำ ที่กำลังเปิดรับสมัครงานอยู่ โดยจะเน้นไปที่ตำแหน่งพนักงานระดับอาวุโสหรือผู้จัดการ เพื่อเข้าถึงข้อมูลสำคัญเฉพาะพนักงานระดับสูงเท่านั้น นอกจากนี้กลุ่มดังกล่าวเคยมี ประวัติการโจมตีหน่วยงานของรัฐ กระทรวงกลาโหม โทรคมนาคม และสถาบันการเงินทั่วโลกมาตั้งแต่ปี 2556
ขั้นตอนการโจมตี
- ผู้โจมตีส่งไฟล์ ZIP ผ่านแชท WhatsApp ไปยังเหยื่อ ซึ่งภายในไฟล์ ZIP ประกอบด้วยไฟล์ต่าง ๆ เช่น PdfFilter.dll, PdfPreview.dll, SumatraPDF.exe, libmupdf.dll และไฟล์ PDF ที่ชื่อ "BAE_Vice President of Business Development.pdf"
รูปที่ 1: แสดงหน้า PDF
- แฮกเกอร์จะให้ผู้ใช้งานเปิดไฟล์ PDF ด้วยโปรแกรม SumatraPDF เมื่อเหยื่อเปิดไฟล์ SumatraPDF.exe ฟังก์ชันที่ชื่อว่า BURNBOOK ใน SumatraPDF จะทำการถอดรหัสไฟล์ PDF เพื่อแสดงรายละเอียดของงาน (Job Description) และยังทำการดึงเอา Backdoor ที่เรียกว่ามัลแวร์ MISTPEN ออกมาอีกด้วย
- จากนั้นไฟล์ DLL ทั้งหมดจะถูกโหลดโดยโปรแกรม SumatraPDF ซึ่งไฟล์ libmupdf.dll จะทำหน้าที่ในการถอดรหัสไฟล์ BAE_Vice President of Business Development.pdf ทำให้สามารถแสดงรายละเอียดของงานได้ รวมถึงโหลด Payload ที่ชื่อว่า MISTPEN ลงในหน่วยความจำ
- มัลแวร์ MISTPEN จะถูกติดตั้งลงดิสก์ในรูปแบบไฟล์ที่เข้ารหัสชื่อว่า binhex.dll เพื่อใช้ไฟล์ดังกล่าวเป็น Backdoor
- Libmupdf.dll จะเก็บ Backdoor ลงในไฟล์ชื่อ thumbs.ini
- ไฟล์ Loader ที่ชื่อ TEARPAGE จะถูกโหลดผ่านวิธีการโจมตีแบบ DLL search order hijacking โดยใช้ไฟล์ BdeUISrv.exe ของระบบที่คัดลอกไปยังโฟลเดอร์
- มัลแวร์จะติดตั้ง wtsapi32.dll ไปยังโฟลเดอร์ %appdata%MicrosoftBDE UI Launcher
- มัลแวร์จะคัดลอกไฟล์ BdeUISrv.exe ของระบบที่อยู่ใน System32 ไปยัง %appdata%MicrosoftBDE UI Launcher
- มัลแวร์จะสร้าง Scheduled Task ที่มีชื่อว่า Sumatra Launcher เพื่อรันไฟล์ BdeUISrv.exe ในทุก ๆ วัน เมื่อผู้ใช้งานเข้าสู่ระบบ ซึ่งจะนำไปสู่การ Side-Load ไฟล์ wtsapi32.dll
- ไฟล์ wtsapi32.dll ที่ถูก Side-Load จะทำการถอดรหัสและเรียกใช้มัลแวร์ MISTPEN
ผลกระทบจากการโจมตี
การโจมตีของมัลแวร์ MISTPEN ส่งผลกระทบต่อผู้ใช้งานและองค์กรในด้านการรั่วไหลของข้อมูลและถูกแฮกเกอร์เข้าถึงข้อมูลแบบไม่อนุญาตรับอนุญาต อีกทั้งระบบอาจถูกควบคุมโดยแฮกเกอร์ได้ตลอดเวลา
สรุปการโจมตี
การโจมตีจากข่าวดังกล่าวจะมุ่งเป้าการโจมตีไปยังองค์กรพลังงาน เพื่อเข้าถึงระบบของเหยื่อ โดยเริ่มจากการส่งไฟล์ ZIP ที่มีไฟล์ต่าง ๆ รวมถึงไฟล์ PDF โดยแฮกเกอร์จะให้เหยื่อเปิดไฟล์ PDF ด้วยโปรแกรม SumatraPDF ซึ่งจะใช้ฟังก์ชัน BURNBOOK ในการถอดรหัสไฟล์ติดตั้งมัลแวร์ MISTPEN เพื่อใช้มัลแวร์ดังกล่าวในการขโมยข้อมูลที่สำคัญ
คำแนะนำ
- หลีกเลี่ยงการคลิกลิงก์หรือเปิดไฟล์แนบจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ โดยเฉพาะไฟล์ ZIP และไฟล์ PDF ที่อาจมีมัลแวร์ซ่อนอยู่
- อัปเดตโปรแกรมที่ใช้งาน เช่น SumatraPDF และระบบปฏิบัติการ Windows ให้เป็นเวอร์ชันล่าสุด
- ทำการ Full-Scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
Indicators of Compromise (IoCs)
| มัลแวร์ MISTPEN | |
| MD5 | 28a75771ebdb96d9b49c9369918ca581 |
| 57e8a7ef21e7586d008d4116d70062a6 | |
| f3baee9c48a2f744a16af30220de5066 | |
| 006cbff5d248ab4a1d756bce989830b9 | |
| 0b77dcee18660bdccaf67550d2e00b00 | |
| b707f8e3be12694b4470255e2ee58c81 | |
| cd6dbf51da042c34c6e7ff7b1641837d | |
| eca8eb8871c7d8f0c6b9c3ce581416ed | |
| Domain | heropersonas[.]com |
| URL | hxxps://graph.microsoft[.]com/v1.0/me/drive/root:/path/upload/world/266A25710006EF92 |
| hxxps://dstvdtt.co[.]za/wp-content/plugins/social-pug/assets/lib.php | |
| hxxps://cmasedu[.]com/wp-content/plugins/kirki/inc/script.php | |
| hxxps://bmtpakistan[.]com/solution/wp-content/plugins/one-click-demo-import/assets/asset.php | |
| hxxps://verisoftsystems[.]com/wp-content/plugins/optinmonster/views/upgrade-link-style.php | |
| hxxps://www.clinicabaru[.]co/wp-content/plugins/caldera-forms/ui/viewer-two/viewer- 2.php | |
แหล่งอ้างอิง
hxxps[:]//thehackernews[.]com/2024/09/north-korean-hackers-target-energy-and[.]html
hxxps[:]//cloud.google[.]com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader
