A Mandiant lançou uma postagem no blog detalhando uma campanha de espionagem cibernética por um grupo suspeito de ter conexões com a Coreia do Norte, rastreado como UNC2970. Esse grupo tem como alvo vítimas com ofertas de emprego falsas, se passando por recrutador de empresas proeminentes.
O que achei particularmente interessante foi o uso de uma versão trojanizada do leitor de PDF de código aberto SumatraPDF pelo UNC2970. Eles não estão explorando uma vulnerabilidade no próprio SumatraPDF, mas modificando o código para entregar seu malware.
Essa técnica destaca a crescente ameaça representada pela cadeia de suprimentos de software. Mesmo ao usar software de código aberto, é crucial ter cuidado e garantir a integridade da fonte do software.
Também fiquei impressionado com a análise detalhada da Mandiant sobre a cadeia de infecção, desde atrair a vítima com um arquivo PDF criptografado até implantar o backdoor MISTPEN.
Essa análise fornece insights valiosos para pesquisadores de segurança e defensores entenderem melhor as táticas, técnicas e procedimentos (TTPs) do UNC2970 e melhorarem suas defesas contra esse grupo.
Recomendo fortemente a leitura da postagem do blog da Mandiant para a análise completa, incluindo indicadores de comprometimento (IOCs) e regras YARA para detecção e resposta.
