Τον Αύγουστο του 2025, μια εξελιγμένη κυβερνοεπίθεση στόχευε μια ασιατική θυγατρική ενός μεγάλου ευρωπαϊκού κατασκευαστικού οργανισμού μέσω ενός παραπλανητικού συστήματος προσφοράς εργασίας.
Η εκστρατεία εισβολής, που προσδιορίζεται ως Operation DreamJob, δείχνει πώς οι φορείς απειλών συνεχίζουν να βελτιώνουν τις τεχνικές κοινωνικής μηχανικής για να θέτουν σε κίνδυνο στόχους υψηλής αξίας στον κατασκευαστικό τομέα.
Αυτή η επίθεση εκμεταλλεύτηκε ειδικά τα μηνύματα WhatsApp στο Web για να παραδώσει κακόβουλα ωφέλιμα φορτία μεταμφιεσμένα ως νόμιμες ευκαιρίες απασχόλησης.
Η επίθεση ξεκίνησε όταν ένας μηχανικός έργου έλαβε ένα στοχευμένο μήνυμα WhatsApp στο Web που περιείχε αυτό που φαινόταν να είναι ένα έγγραφο που σχετίζεται με την εργασία.
Το μήνυμα ενθάρρυνε τον παραλήπτη να κατεβάσει και να εξαγάγει ένα αρχείο ZIP, το οποίο περιείχε τρία στοιχεία: ένα κακόβουλο αρχείο PDF, ένα νόμιμο πρόγραμμα προβολής εγγράφων ανοιχτού κώδικα που ονομάζεται SumatraPDF.exe και ένα κακόβουλο αρχείο DLL με το όνομα libmupdf.dll.
Αυτός ο συνδυασμός όπλισε μια αξιόπιστη εφαρμογή μέσω πλευρικής φόρτωσης DLL, όπου το νόμιμο εκτελέσιμο φόρτωσε εν αγνοία της την κακόβουλη βιβλιοθήκη.
Orange Cyberdefense αναλυτές ασφαλείας ερευνηθεί το περιστατικό και απέδωσε την επίθεση με μέτρια εμπιστοσύνη στο σύμπλεγμα απειλών UNC2970 της Βόρειας Κορέας.
Η ανάλυσή τους αποκάλυψε ότι η εισβολή αξιοποίησε εξελιγμένες παραλλαγές κακόβουλου λογισμικού, συγκεκριμένα το BURNBOOK και το MISTPEN, παράλληλα με την υποδομή του SharePoint και του WordPress για λειτουργίες διοίκησης και ελέγχου.
Οι παράγοντες απειλών διατήρησαν επίμονη πρόσβαση για τουλάχιστον έξι συνεχόμενες ώρες, πραγματοποιώντας πρακτικές δραστηριότητες με πληκτρολόγιο καθ’ όλη τη διάρκεια του συμβιβασμού.
Όταν το θύμα άνοιξε το έγγραφο PDF, το εκτελέσιμο αρχείο SumatraPDF φόρτωσε το κακόβουλο αρχείο libmupdf.dll, το οποίο οι ερευνητές επιβεβαίωσαν ως πρόσφατη παραλλαγή φόρτωσης BURNBOOK.
Αυτή η κερκόπορτα επέτρεψε στους εισβολείς να δημιουργήσουν αρχική πρόσβαση και να ξεκινήσουν δραστηριότητες αναγνώρισης εντός του δικτύου.
Προηγμένοι μηχανισμοί επιμονής και πλευρικής κίνησης
Μετά την επιτυχή διείσδυση, οι παράγοντες της απειλής ανέπτυξαν πολλαπλές τεχνικές για να επεκτείνουν τη θέση τους σε ολόκληρο το κατασκευαστικό δίκτυο.
.webp.jpeg)
Οι εισβολείς πραγματοποίησαν εκτεταμένα ερωτήματα LDAP κατά της Active Directory για να απαριθμήσουν χρήστες και υπολογιστές εντός του τομέα, συλλέγοντας πληροφορίες για λειτουργίες πλευρικής κίνησης.
Στη συνέχεια, παραβίασαν λογαριασμούς αντιγράφων ασφαλείας και διαχειριστή χρησιμοποιώντας τεχνικές pass-the-hash, οι οποίες επέτρεψαν τον έλεγχο ταυτότητας χωρίς να απαιτούν κωδικούς πρόσβασης απλού κειμένου.
Αυτή η μέθοδος περιλάμβανε εξαγωγή κατακερματισμών κωδικού πρόσβασης NTLM και επαναχρησιμοποίησή τους για έλεγχο ταυτότητας δικτύου. Στη συνέχεια, οι εισβολείς ανέπτυξαν ένα πρόσθετο ωφέλιμο φορτίο που ονομάζεται TSVIPsrv.dll, το οποίο προσδιορίζεται ως παραλλαγή MISTPEN backdoor.
Αυτό το κακόβουλο λογισμικό αποκρυπτογραφούσε και εκτέλεσε το wordpad.dll.mui απευθείας στη μνήμη, δημιουργώντας συνδέσεις με παραβιασμένους διακομιστές SharePoint για επικοινωνίες εντολών και ελέγχου.
Το τελικό στάδιο περιελάμβανε την ανάπτυξη του Release_PvPlugin_x64.dll, το οποίο λειτουργούσε ως μονάδα κλοπής πληροφοριών που σχεδιάστηκε για την εξαγωγή ευαίσθητων δεδομένων από μολυσμένα συστήματα.
