COVERTCATCH Malware
Nordkoreanske trusselsaktører er blevet fundet, der udnytter LinkedIn til at målrette mod udviklere gennem falske jobrekrutteringsplaner. En vigtig taktik involverer at bruge kodningstests som den indledende infektionsmetode. Efter at have engageret målet i en chat, sender angriberen en ZIP-fil forklædt som en Python-kodningsudfordring, som faktisk indeholder COVERTCATCH-malwaren. Når den først er udført, initierer denne malware et angreb på målets macOS-system og downloader en anden-trins nyttelast for at etablere persistens ved hjælp af Launch Agents og Launch Daemons.
Indholdsfortegnelse
Nordkorea er fortsat den største aktør inden for cyberkriminalitet
Dette er dog kun et eksempel blandt forskellige aktivitetsklynger – såsom Operation Dream Job og Contagious Interview – udført af nordkoreanske hackergrupper, der bruger jobrelaterede lokkemidler til at sprede malware.
Taktikker med rekrutteringstema er også blevet brugt til at implementere malware-familier som RustBucket og KANDYKORN . På nuværende tidspunkt er det uklart, om COVERTCATCH er relateret til disse eller den nyopdagede TodoSwift .
Forskere har identificeret en social engineering-kampagne, hvor en korrupt PDF-fil blev forklædt som en jobbeskrivelse for en 'VP of Finance and Operations' på en større cryptocurrency-børs. Denne PDF droppede en anden fase af malware kaldet RustBucket, en Rust-baseret bagdør, der understøtter filudførelse.
RustBucket-implantatet kan indsamle grundlæggende systemoplysninger, kommunikere med en specificeret URL og etablere persistens gennem en Launch Agent, der udgiver sig som en 'Safari Update', hvilket gør det muligt for det at kontakte et hårdkodet Command-and-Control (C2) domæne.
Nordkoreanske hackergrupper fortsætter med at udvikle sig
Nordkoreas fokus på Web3-organisationer strækker sig ud over social engineering og omfatter softwareforsyningskædeangreb, som demonstreret af nylige hændelser, der involverer 3CX og JumpCloud. Når først angribere har etableret adgang gennem malware, flytter de til adgangskodeadministratorer for at indsamle legitimationsoplysninger, foretage intern rekognoscering gennem kodelagre og dokumentation og infiltrere cloud-hostingmiljøer for at afdække hot wallet-nøgler og i sidste ende dræne penge.
Denne afsløring kommer i forbindelse med en advarsel udstedt af US Federal Bureau of Investigation (FBI) om nordkoreanske trusselsaktører, der retter sig mod kryptovalutaindustrien med højt specialiserede og svære at opdage sociale ingeniørkampagner.
Disse igangværende bestræbelser involverer ofte at efterligne rekrutteringsfirmaer eller velkendte personer, tilbyde beskæftigelse eller investeringsmuligheder. Sådanne taktikker tjener som en gateway for dristige krypto-tyverier, der har til formål at generere ulovlig indkomst til Nordkorea, som fortsat er under internationale sanktioner.
Trusselsaktører bruger personlig taktik til at inficere mål
Nøgletaktik brugt af disse aktører omfatter:
- Målretning af cryptocurrency-relaterede virksomheder.
- Udførelse af grundig præ-operationel forskning på deres ofre, før de tager kontakt.
- Oprettelse af meget personlige falske scenarier for at øge sandsynligheden for succes.
De kan referere til personlige oplysninger, såsom interesser, tilknytninger, begivenheder, forhold eller professionelle forbindelser, som ofret måske tror, er kendt af kun få. Denne tilgang er designet til at skabe relationer og i sidste ende levere malware.
Hvis det lykkes dem at etablere kommunikation, kan den første aktør eller et andet teammedlem investere betydelig tid i at interagere med offeret for at styrke udseendet af legitimitet og skabe en følelse af fortrolighed og tillid.
