Компания Mandiant опубликовала запись в блоге, в которой подробно описывается кампания кибершпионажа, проводимая группой, предположительно связанной с Северной Кореей, отслеживаемой Mandiant как UNC2970. Эта группа нацелена на жертв под видом предложений о работе, выдавая себя за рекрутера известных компаний.
Что мне показалось особенно интересным, так это использование UNC2970 троянизированной версии программы для чтения PDF с открытым исходным кодом SumatraPDF. Они не используют уязвимость в самом SumatraPDF, а изменяют код для доставки своего вредоносного ПО.
Этот метод подчеркивает растущую угрозу, исходящую от цепочки поставок программного обеспечения. Даже при использовании программного обеспечения с открытым исходным кодом важно проявлять осторожность и обеспечивать целостность источника программного обеспечения.
Я также был впечатлен подробным описанием Mandiant цепочки заражения, от привлечения жертвы зашифрованным PDF-файлом до развертывания бэкдора MISTPEN.
Этот анализ дает ценные сведения для исследователей безопасности и специалистов по защите, чтобы лучше понять тактику, методы и процедуры (TTP) UNC2970 и улучшить свою защиту от этой группы.
Я настоятельно рекомендую прочитать запись в блоге Mandiant, чтобы ознакомиться с полным анализом, включая индикаторы компрометации (IOC) и правила YARA для обнаружения и реагирования.
