Programari maliciós COVERTCATCH
S'ha trobat que actors d'amenaça de Corea del Nord exploten LinkedIn per orientar-se als desenvolupadors mitjançant esquemes de contractació de feina falsos. Una tàctica clau consisteix a utilitzar proves de codificació com a mètode d'infecció inicial. Després d'envolupar l'objectiu en un xat, l'atacant envia un fitxer ZIP disfressat com un repte de codificació Python, que en realitat conté el programari maliciós COVERTCATCH. Un cop executat, aquest programari maliciós inicia un atac al sistema macOS de l'objectiu, descarregant una càrrega útil de segona etapa per establir la persistència mitjançant Launch Agents i Launch Daemons.
Taula de continguts
Corea del Nord segueix sent el principal jugador de la ciberdelinqüència
No obstant això, aquest és només un exemple entre diversos grups d'activitats, com ara l'Operació Dream Job i Contagious Interview, realitzades per grups de pirateria de Corea del Nord que utilitzen esquers relacionats amb la feina per difondre programari maliciós.
Les tàctiques temàtiques de contractació també s'han utilitzat habitualment per desplegar famílies de programari maliciós com RustBucket i KANDYKORN . En aquest moment, no està clar si COVERTCATCH està relacionat amb aquests o amb el TodoSwift recentment descobert.
Els investigadors han identificat una campanya d'enginyeria social on un PDF corrupte es va disfressar com a descripció del treball d'un "VP de Finances i Operacions" en un important intercanvi de criptomoneda. Aquest PDF va deixar caure un programari maliciós de segona etapa anomenat RustBucket, una porta posterior basada en Rust que admet l'execució de fitxers.
L'implant RustBucket pot recopilar informació bàsica del sistema, comunicar-se amb un URL especificat i establir la persistència mitjançant un agent de llançament que es fa passar com una "Actualització de Safari", que li permet contactar amb un domini de comandament i control (C2) codificat.
Els grups de pirates informàtics de Corea del Nord continuen evolucionant
L'enfocament de Corea del Nord a les organitzacions Web3 s'estén més enllà de l'enginyeria social per incloure atacs a la cadena de subministrament de programari, com ho demostren els incidents recents que involucren 3CX i JumpCloud. Una vegada que els atacants estableixen l'accés mitjançant programari maliciós, passen als gestors de contrasenyes per recollir credencials, dur a terme reconeixement intern mitjançant dipòsits de codi i documentació i s'infiltren en entorns d'allotjament en núvol per descobrir les claus de la cartera calenta i, finalment, esgotar fons.
Aquesta revelació arriba juntament amb una advertència emesa per l'Oficina Federal d'Investigacions (FBI) dels Estats Units sobre els actors d'amenaça de Corea del Nord dirigits a la indústria de la criptomoneda amb campanyes d'enginyeria social altament especialitzades i difícils de detectar.
Aquests esforços en curs sovint impliquen suplantar la identitat d'empreses de contractació o persones conegudes, oferint oportunitats de feina o d'inversió. Aquestes tàctiques serveixen com a porta d'entrada per a audaços robatoris de criptografia destinats a generar ingressos il·lícits per a Corea del Nord, que continua sota sancions internacionals.
Els actors d'amenaça utilitzen tàctiques personalitzades per infectar objectius
Les tàctiques clau utilitzades per aquests actors inclouen:
- Orientació a empreses relacionades amb la criptomoneda.
- Realitzar una investigació preoperacional exhaustiva sobre les seves víctimes abans de contactar.
- Creació d'escenaris falsos altament personalitzats per augmentar la probabilitat d'èxit.
Poden fer referència a dades personals, com ara interessos, afiliacions, esdeveniments, relacions o connexions professionals que la víctima podria pensar que només uns pocs coneixen. Aquest enfocament està dissenyat per crear una relació i, finalment, oferir programari maliciós.
Si aconsegueixen establir comunicació, l'actor inicial o un altre membre de l'equip pot invertir un temps important interactuant amb la víctima per millorar l'aparença de legitimitat i fomentar un sentit de familiaritat i confiança.
