COVERTCATCH pahavara
Leiti, et Põhja-Korea ohus osalejad kasutavad LinkedIni ära, et võltsitud värbamisskeemide kaudu arendajaid sihtida. Peamine taktika hõlmab kodeerimistestide kasutamist esialgse nakatumismeetodina. Pärast sihtmärgi vestlusesse kaasamist saadab ründaja Pythoni kodeerimise väljakutseks maskeeritud ZIP-faili, mis tegelikult sisaldab pahavara COVERTCATCH. Pärast käivitamist käivitab see pahavara rünnaku sihtmärgi MacOS-süsteemi vastu, laadides alla teise etapi kasuliku koormuse, et luua püsivus, kasutades Launch Agents ja Launch Deemons.
Sisukord
Põhja-Korea on endiselt küberkuritegevuse peamine mängija
See on aga vaid üks näide erinevatest tegevusklastritest – nagu operatsioon Dream Job ja Contagious Interview –, mille viisid läbi Põhja-Korea häkkimisrühmad, kes kasutavad pahavara levitamiseks tööga seotud peibutusi.
Värbamisteemalisi taktikaid on sageli kasutatud ka pahavaraperekondade, nagu RustBucket ja KANDYKORN , juurutamiseks. Praegu on ebaselge, kas COVERTCATCH on seotud nende või äsja avastatud TodoSwiftiga .
Teadlased on tuvastanud sotsiaalse manipuleerimise kampaania, mille käigus rikutud PDF-faili maskeeriti suure krüptovaluutabörsi finants- ja operatsioonide asepresidendi ametijuhendiks. See PDF eemaldas teise etapi pahavara nimega RustBucket, mis on roostepõhine tagauks, mis toetab faili täitmist.
RustBucketi implantaat suudab koguda põhilist süsteemiteavet, suhelda määratud URL-iga ja luua püsivust käivitusagendi kaudu, mis maskeerub "Safari värskenduseks", võimaldades tal võtta ühendust kõvakoodiga Command-and-Control (C2) domeeniga.
Põhja-Korea häkkerirühmad arenevad edasi
Põhja-Korea keskendumine Web3 organisatsioonidele ulatub sotsiaalsest manipuleerimisest kaugemale, hõlmates ka tarkvara tarneahela rünnakuid, nagu näitavad hiljutised intsidendid 3CX-i ja JumpCloudiga. Kui ründajad on pahavara kaudu juurdepääsu loonud, liiguvad nad paroolihaldurite juurde, et koguda mandaate, viia läbi koodihoidlate ja dokumentatsiooni kaudu sisemist tutvumist ning tungida pilvemajutuskeskkonda, et avastada rahakoti võtmeid ja lõpuks raha kulutada.
See ilmutus on seotud USA Föderaalse Juurdlusbüroo (FBI) hoiatusega Põhja-Korea ohus osalejate kohta, kes sihivad krüptovaluutatööstust kõrgelt spetsialiseerunud ja raskesti tuvastatavate sotsiaalse manipuleerimise kampaaniatega.
Need jätkuvad jõupingutused hõlmavad sageli värbamisettevõtete või tuttavate isikute kehastamist, töö- või investeerimisvõimaluste pakkumist. Selline taktika on värav hulljulgetele krüptovargustele, mille eesmärk on teenida ebaseaduslikku tulu Põhja-Koreale, mis jääb rahvusvaheliste sanktsioonide alla.
Ohunäitlejad kasutavad sihtmärkide nakatamiseks isikupärastatud taktikat
Peamised taktikad, mida need osalejad kasutavad, on järgmised:
- Krüptorahaga seotud ettevõtete sihtimine.
- Põhjalike operatsioonieelsete uuringute läbiviimine nende ohvrite kohta enne kontakti loomist.
- Väga isikupärastatud võltsitud stsenaariumide loomine, et suurendada edu tõenäosust.
Need võivad viidata isikuandmetele, nagu huvid, seotus, sündmused, suhted või ametialased sidemed, mida ohver võib arvata, et neid teavad vaid vähesed. See lähenemine on loodud suhtluse loomiseks ja lõpuks pahavara edastamiseks.
Kui neil õnnestub suhtlust luua, võib esialgne osaleja või mõni teine meeskonnaliige kulutada ohvriga suhtlemisele palju aega, et tugevdada legitiimsuse näivust ning edendada tuttavlikkust ja usaldust.
