Verschillende bedrijven die voor de Amerikaanse overheid werkzaamheden verrichten zijn begin dit jaar het doelwit van een aanval met malafide vacatures geworden, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security weten. De aanvallen zouden het werk zijn van Noord-Korea, aldus een rapport van de overheidsinstantie.

De aanvallen begonnen met e-mails die vacatures van grote Amerikaanse defensiebedrijven leken te bevatten, waaronder Boeing. In werkelijkheid ging het om malafide docx-documenten die van een exploit waren voorzien. Deze exploit maakte misbruik van een kwetsbaarheid (CVE-2017-0199) in Microsoft Office waarvoor Microsoft op 11 april 2017 een beveiligingsupdate uitbracht.

Wanneer een gebruiker het document op een ongepatcht systeem opende werd er malware op het systeem geïnstalleerd. Deze malware kon uiteindelijk andere malware op het systeem installeren, waaronder de BlindingCan remote access trojan (RAT). Via deze RAT hadden de aanvallers volledige controle over het systeem en konden onder andere gegevens stelen.

In het nu verschenen rapport geeft het CISA meer details over de malware, waaronder "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen en Yara-rules. De overheidsinstantie hoopt zo dat organisaties eventuele infecties binnen hun netwerken kunnen vinden.