COVERTCATCH Зловреден софтуер
Установено е, че севернокорейски заплахи използват LinkedIn за насочване към разработчици чрез фалшиви схеми за набиране на работа. Ключова тактика включва използването на тестове за кодиране като първоначален метод за заразяване. След като включи целта в чат, нападателят изпраща ZIP файл, маскиран като предизвикателство за кодиране на Python, който всъщност съдържа злонамерения софтуер COVERTCATCH. Веднъж изпълнен, този зловреден софтуер инициира атака срещу macOS системата на целта, изтегляйки полезен товар от втори етап, за да установи постоянство, използвайки Launch Agents и Launch Daemons.
Съдържание
Северна Корея остава основен играч в киберпрестъпността
Това обаче е само един пример сред различни клъстери от дейности – като Operation Dream Job и Contagious Interview – извършвани от севернокорейски хакерски групи, използващи свързани с работата примамки за разпространение на зловреден софтуер.
Тематични тактики за набиране на персонал също често се използват за внедряване на семейства злонамерен софтуер като RustBucket и KANDYKORN . Към момента не е ясно дали COVERTCATCH е свързан с тези или с новооткрития TodoSwift .
Изследователи са идентифицирали кампания за социално инженерство, при която корумпиран PDF файл е бил маскиран като длъжностна характеристика за „вицепрезидент по финанси и операции“ в голяма борса за криптовалута. Този PDF изпусна злонамерен софтуер от втори етап, наречен RustBucket, базирана на Rust задна врата, която поддържа изпълнение на файлове.
Имплантът RustBucket може да събира основна системна информация, да комуникира с определен URL адрес и да установи постоянство чрез Launch Agent, който се маскира като „Safari Update“, което му позволява да се свърже с твърдо кодиран домейн за командване и управление (C2).
Севернокорейските хакерски групи продължават да се развиват
Фокусът на Северна Корея върху Web3 организациите се простира отвъд социалното инженерство, за да включва атаки по веригата за доставки на софтуер, както се вижда от скорошни инциденти, включващи 3CX и JumpCloud. След като нападателите установят достъп чрез злонамерен софтуер, те преминават към мениджъри на пароли, за да събират идентификационни данни, да извършват вътрешно разузнаване чрез хранилища на кодове и документация и да проникват в облачни хостинг среди, за да разкрият горещи ключове на портфейла и в крайна сметка да източат средства.
Това разкритие идва във връзка с предупреждение, издадено от Федералното бюро за разследване на САЩ (ФБР) за севернокорейски заплахи, насочени към криптовалутната индустрия с високоспециализирани и трудни за откриване кампании за социално инженерство.
Тези продължаващи усилия често включват представяне на фирми за набиране на персонал или познати лица, предлагащи възможности за работа или инвестиции. Подобни тактики служат като портал за дръзки крипто кражби, предназначени да генерират незаконен доход за Северна Корея, която остава под международни санкции.
Заплахите използват персонализирани тактики за заразяване на цели
Основните тактики, използвани от тези участници, включват:
- Насочване към бизнеси, свързани с криптовалута.
- Провеждане на задълбочени предоперативни изследвания на техните жертви, преди да осъществят контакт.
- Създаване на силно персонализирани фалшиви сценарии за увеличаване на вероятността за успех.
Те могат да се позовават на лични данни, като интереси, връзки, събития, взаимоотношения или професионални връзки, които жертвата може да мисли, че са известни само на малцина. Този подход е предназначен да изгради връзка и в крайна сметка да достави зловреден софтуер.
Ако успеят да установят комуникация, първоначалният актьор или друг член на екипа може да инвестира значително време във взаимодействие с жертвата, за да подобри външния вид на легитимност и да насърчи чувството за познаване и доверие.
