Mandiant 发布了一篇博客文章,详细介绍了疑似与朝鲜有关联的网络间谍组织 UNC2970 发起的网络间谍活动。该组织伪装成知名公司的招聘人员,以虚假招聘信息为诱饵,对目标进行攻击。
我发现特别有趣的一点是,UNC2970 使用了开源 PDF 阅读器 SumatraPDF 的木马化版本。他们并没有利用 SumatraPDF 本身的漏洞,而是修改了代码来传播其恶意软件。
这种技术凸显了软件供应链带来的日益严重的威胁。即使在使用开源软件时,也必须谨慎行事,并确保软件来源的完整性。
Mandiant 对感染链的详细分析给我留下了深刻的印象,从利用加密的 PDF 文件引诱受害者到部署 MISTPEN 后门,分析涵盖了各个环节。
该分析为安全研究人员和防御者提供了宝贵的见解,有助于他们更好地了解 UNC2970 的战术、技术和程序 (TTP),并改进针对该组织的防御措施。
我强烈建议您阅读 Mandiant 的博客文章,以获取完整的分析,包括入侵指标 (IOC) 和用于检测和响应的 YARA 规则。
