Mandiant telah merilis postingan blog yang merinci kampanye spionase siber oleh grup yang diduga terkait dengan Korea Utara yang dilacak sebagai UNC2970. Grup ini menargetkan korban dengan kedok lowongan pekerjaan, menyamar sebagai perekrut untuk perusahaan-perusahaan terkemuka.
Yang menurut saya sangat menarik adalah penggunaan versi trojan dari pembaca PDF sumber terbuka SumatraPDF oleh UNC2970. Mereka tidak mengeksploitasi kerentanan di SumatraPDF itu sendiri, melainkan memodifikasi kode untuk mengirimkan malware mereka.
Teknik ini menyoroti meningkatnya ancaman yang ditimbulkan oleh rantai pasokan perangkat lunak. Bahkan ketika menggunakan perangkat lunak sumber terbuka, sangat penting untuk berhati-hati dan memastikan integritas sumber perangkat lunak.
Saya juga terkesan dengan rincian Mandiant tentang rantai infeksi, dari memancing korban dengan file PDF terenkripsi hingga menyebarkan pintu belakang MISTPEN.
Analisis ini memberikan wawasan berharga bagi peneliti dan pembela keamanan untuk lebih memahami taktik, teknik, dan prosedur (TTP) UNC2970 dan meningkatkan pertahanan mereka terhadap grup ini.
Saya sangat merekomendasikan untuk membaca postingan blog Mandiant untuk analisis lengkap, termasuk indikator kompromi (IOC) dan aturan YARA untuk deteksi dan respons.
