研究人员表示，与东北亚某国政府有关联的黑客组织使用新技术和恶意软件开展黑客活动，新的攻击活动以安全研究人员为目标，希望在目标公司内部站稳脚跟。

安全公司 Mandiant 的研究人员周四表示，他们于去年 6 月首次发现该活动，当时他们正在跟踪针对美国科技行业客户的网络钓鱼活动。此次攻击活动中的黑客试图用三个新的恶意软件系列感染目标，这些恶意软件系列被 Mandiant 称为 Touchmove、Sideshow 和 Touchshift，这些攻击中的黑客还展示了在目标云环境中运行时对抗端点检测工具的新功能。

“Mandiant 怀疑 UNC2970 在这次行动中专门针对安全研究人员。”Mandiant 研究人员写道。

在发现该活动后不久，Mandiant 对 UNC2970 对美国和欧洲媒体组织的多次入侵做出了回应，UNC2970 是 Mandiant 对东北亚某国一黑客组织的称呼。UNC2970 使用以工作招聘为主题的鱼叉式网络钓鱼，试图引诱目标并诱使他们安装新的恶意软件。

传统上，UNC2970 使用招聘主题的鱼叉式钓鱼电子邮件攻击。最近，该组织已转向使用伪装成招聘人员的虚假 LinkedIn 帐户进行攻击。这些帐户经过精心设计，可以模仿合法人的身份来欺骗目标并增加他们成功的机会。最终，黑客试图将对话转移到 WhatsApp，并从那里使用 WhatsApp 或电子邮件传递后门。

该组织部署的Plankwalk 或其他恶意软件主要通过嵌入Microsoft Word 文档中的恶意宏代码来传播。当打开文档并允许运行宏时，目标机器会从C2服务器下载并执行恶意负载。使用的文档之一如下所示：

攻击者的C2服务器主要是受感染的 WordPress 站点，这是 UNC2970 的另一种技术。感染过程涉及向目标发送一个存档文件，其中包括 TightVNC 远程桌面应用程序的恶意版本。在公开的分析报告中，Mandiant 研究人员进一步描述了这个过程：

UNC2970 提供的 ZIP 文件包含受害者认为是工作申请的技能评估测试。实际上，ZIP 包含一个 ISO 文件，其中包含 TightVNC 的木马化版本，Mandiant 将其跟踪为 LIDSHIFT。受害者被指示运行 TightVNC 应用程序，该应用程序与其他文件一起被适当地命名为受害者计划为其进行评估的公司。

除了充当合法的 TightVNC 查看器之外，LIDSHIFT 还包含多个隐藏功能。第一个是在用户执行时，恶意软件会将信标发送回其硬编码的 C2；唯一需要用户进行的交互是启动程序。这种缺乏互动不同于 MSTIC 在他们最近的博客文章中观察到的情况。来自 LIDSHIFT 的初始 C2 信标包含受害者的初始用户名和主机名。

LIDSHIFT 的第二个功能是反射式地将加密的 DLL 注入内存。注入的 DLL 是一个木马化的 Notepad++ 插件，它充当下载器，Mandiant 将其跟踪为 LIDSHOT。

一旦受害者打开 TightVNC Viewer 应用程序内部的下拉菜单，LIDSHOT 就会被注入。LIDSHOT 有两个主要功能：系统枚举和从 C2 下载和执行 shellcode。

攻击链最终会安装 Plankwalk 后门，然后可以安装各种附加工具，包括 Microsoft 端点应用程序 InTune。InTune 可用于将配置传送到在组织的 Azure Active Directory 服务中注册的端点。UNC2970 似乎在使用合法应用程序来绕过端点保护（EDR）。

Mandiant 研究人员写道：“已识别的恶意软件工具突出了 UNC2970 持续开发和部署新工具的恶意软件。” “虽然该组织此前曾针对国防、媒体和技术行业，但安全研究人员的目标表明其战略转变或业务扩张。”

东北亚某国背景的黑客组织至少从 2021 年开始就参与了这项活动。