COVERTCATCH Malware
Bylo zjištěno, že severokorejští aktéři hrozeb zneužívají LinkedIn k cílení na vývojáře prostřednictvím falešných programů náboru pracovních míst. Klíčová taktika zahrnuje použití testů kódování jako počáteční metody infekce. Po zapojení cíle v chatu útočník odešle soubor ZIP maskovaný jako výzva ke kódování Pythonu, který ve skutečnosti obsahuje malware COVERTCATCH. Jakmile je tento malware spuštěn, zahájí útok na cílový systém macOS a stáhne datovou část druhé fáze, aby pomocí Launch Agents a Launch Daemons nastolila perzistenci.
Obsah
Severní Korea zůstává hlavním hráčem kyberzločinu
Toto je však jen jeden příklad mezi různými skupinami aktivit – jako je Operation Dream Job a Contagious Interview – prováděné severokorejskými hackerskými skupinami pomocí pracovních návnad k šíření malwaru.
Taktiky na téma náboru se také běžně používají k nasazení rodin malwaru, jako je RustBucket a KANDYKORN . V tuto chvíli není jasné, zda COVERTCATCH souvisí s těmito nebo s nově objeveným TodoSwift .
Výzkumníci identifikovali kampaň sociálního inženýrství, kde bylo zkorumpované PDF maskováno jako popis práce pro „VP of Finance and Operations“ na velké kryptoměnové burze. Toto PDF vypustilo malware druhé fáze s názvem RustBucket, zadní vrátka založená na Rustu, která podporuje spouštění souborů.
Implantát RustBucket může shromažďovat základní systémové informace, komunikovat se zadanou URL a zajistit stálost prostřednictvím Launch Agenta, který se maskuje jako „Safari Update“, což mu umožňuje kontaktovat pevně zakódovanou doménu Command-and-Control (C2).
Skupiny severokorejských hackerů se nadále vyvíjejí
Zaměření Severní Koreje na organizace Web3 přesahuje sociální inženýrství a zahrnuje útoky na softwarový dodavatelský řetězec, jak ukázaly nedávné incidenty týkající se 3CX a JumpCloud. Jakmile útočníci získají přístup prostřednictvím malwaru, přesunou se ke správcům hesel, aby shromáždili přihlašovací údaje, provedli interní průzkum prostřednictvím úložišť kódu a dokumentace a infiltrovali prostředí cloudového hostingu, aby odhalili klíče hot peněženky a nakonec odčerpali finanční prostředky.
Toto odhalení přichází ve spojení s varováním vydaným americkým Federálním úřadem pro vyšetřování (FBI) o severokorejských aktérech hrozeb, kteří se zaměřují na kryptoměnový průmysl pomocí vysoce specializovaných a těžko odhalitelných kampaní sociálního inženýrství.
Tyto pokračující snahy často zahrnují vydávání se za náborové firmy nebo známé osoby, nabízení pracovních nebo investičních příležitostí. Taková taktika slouží jako brána pro odvážné kryptokrádeže, jejichž cílem je generovat nezákonný příjem pro Severní Koreu, na kterou se nadále vztahují mezinárodní sankce.
Aktéři hrozeb používají personalizovanou taktiku k infikování cílů
Mezi klíčové taktiky používané těmito herci patří:
- Cílení na podniky související s kryptoměnami.
- Provádění důkladného předoperačního výzkumu jejich obětí před navázáním kontaktu.
- Vytváření vysoce personalizovaných falešných scénářů pro zvýšení pravděpodobnosti úspěchu.
Mohou odkazovat na osobní údaje, jako jsou zájmy, přidružení, události, vztahy nebo profesní kontakty, o kterých si oběť může myslet, že je zná jen málokdo. Tento přístup je navržen tak, aby vytvořil vztah a nakonec přinesl malware.
Pokud se jim podaří navázat komunikaci, může počáteční aktér nebo jiný člen týmu investovat značný čas do interakce s obětí, aby posílil dojem legitimity a podpořil pocit známosti a důvěry.
