Mandiant hat einen Blogbeitrag veröffentlicht, in dem eine Cyberspionage-Kampagne einer mutmaßlich mit Nordkorea verbundenen Gruppe detailliert beschrieben wird, die von Mandiant als UNC2970 verfolgt wird. Diese Gruppe greift ihre Opfer mit gefälschten Stellenangeboten an und gibt sich als Personalvermittler für bekannte Unternehmen aus.
Besonders interessant fand ich die Verwendung einer modifizierten Version des Open-Source-PDF-Readers SumatraPDF durch UNC2970. Sie nutzen keine Sicherheitslücke in SumatraPDF selbst aus, sondern modifizieren den Code, um ihre Malware einzuschleusen.
Diese Technik unterstreicht die wachsende Bedrohung durch die Software-Lieferkette. Selbst bei der Verwendung von Open-Source-Software ist es wichtig, vorsichtig zu sein und die Integrität der Softwarequelle zu überprüfen.
Beeindruckt hat mich auch die detaillierte Analyse des Infektionsprozesses durch Mandiant, vom Ködern des Benutzers mit einer verschlüsselten PDF-Datei bis hin zur Bereitstellung der MISTPEN-Backdoor.
Diese Analyse liefert Sicherheitsforschern und -experten wertvolle Informationen, um die Methoden und Taktiken von UNC2970 besser zu verstehen und ihre Abwehr gegen diese Gruppe zu verbessern.
Ich empfehle dringend, den Mandiant-Blogbeitrag zu lesen, um die vollständige Analyse mit den Indikatoren für Kompromittierung (IOCs) und den YARA-Regeln zur Erkennung und Reaktion zu erhalten.
