بدافزار COVERTCATCH

عوامل تهدید کننده کره شمالی در حال سوء استفاده از لینکدین برای هدف قرار دادن توسعه دهندگان از طریق طرح های استخدام شغل جعلی هستند. یک تاکتیک کلیدی شامل استفاده از تست های کدگذاری به عنوان روش عفونت اولیه است. پس از درگیر شدن با هدف در یک چت، مهاجم یک فایل ZIP مبدل به عنوان چالش کدنویسی پایتون می فرستد که در واقع حاوی بدافزار COVERTCATCH است. پس از اجرا، این بدافزار حمله به سیستم macOS هدف را آغاز می‌کند و یک بار مرحله دوم را دانلود می‌کند تا با استفاده از Launch Agents و Launch Daemons پایداری را ایجاد کند.

کره شمالی بازیگر اصلی جرایم سایبری است

با این حال، این تنها یک نمونه در میان مجموعه‌های مختلف فعالیت است - مانند عملیات رویای شغل و مصاحبه مسری - که توسط گروه‌های هکر کره شمالی با استفاده از فریب‌های مرتبط با شغل برای انتشار بدافزار انجام شده است.

تاکتیک‌هایی با مضمون استخدام نیز معمولاً برای استقرار خانواده‌های بدافزار مانند RustBucket و KANDYKORN استفاده می‌شوند. در حال حاضر، مشخص نیست که آیا COVERTCATCH مربوط به اینها است یا TodoSwift تازه کشف شده.

محققان یک کمپین مهندسی اجتماعی را شناسایی کرده‌اند که در آن یک پی‌دی‌اف فاسد به‌عنوان شرح شغلی برای «معاون مالی و عملیات» در یک صرافی بزرگ ارزهای دیجیتال پنهان شده بود. این PDF یک بدافزار مرحله دوم به نام RustBucket را حذف کرد، یک درب پشتی مبتنی بر Rust که از اجرای فایل پشتیبانی می‌کند.

ایمپلنت RustBucket می‌تواند اطلاعات اولیه سیستم را جمع‌آوری کند، با یک URL مشخص ارتباط برقرار کند، و از طریق یک Launch Agent که به عنوان "به‌روزرسانی سافاری" ظاهر می‌شود، پایداری ایجاد کند، و آن را قادر می‌سازد تا با یک دامنه فرمان و کنترل (C2) با کد سخت تماس بگیرد.

گروه های هکر کره شمالی به تکامل خود ادامه می دهند

تمرکز کره شمالی بر سازمان‌های Web3 فراتر از مهندسی اجتماعی است و حملات زنجیره تامین نرم‌افزار را شامل می‌شود، همانطور که در حوادث اخیر مربوط به 3CX و JumpCloud نشان داده شد. هنگامی که مهاجمان دسترسی را از طریق بدافزار ایجاد کردند، به سراغ مدیران رمز عبور می‌روند تا اعتبارنامه‌ها را جمع‌آوری کنند، شناسایی داخلی را از طریق مخازن کد و اسناد انجام دهند، و به محیط‌های میزبانی ابری نفوذ کنند تا کلیدهای کیف پول داغ را کشف کنند و در نهایت پول را تخلیه کنند.

این افشاگری همراه با هشداری است که توسط اداره تحقیقات فدرال ایالات متحده (FBI) در مورد بازیگران تهدید کننده کره شمالی که صنعت ارزهای دیجیتال را با کمپین های مهندسی اجتماعی بسیار تخصصی و به سختی قابل شناسایی هستند، صادر کرده است.

این تلاش های مداوم اغلب شامل جعل هویت شرکت های استخدام کننده یا افراد آشنا، ارائه فرصت های شغلی یا سرمایه گذاری است. چنین تاکتیک‌هایی به‌عنوان دروازه‌ای برای دزدی‌های جسورانه ارزهای دیجیتال به‌منظور ایجاد درآمد غیرقانونی برای کره شمالی، که همچنان تحت تحریم‌های بین‌المللی قرار دارد، عمل می‌کند.

بازیگران تهدید از تاکتیک های شخصی سازی شده برای آلوده کردن اهداف استفاده می کنند

تاکتیک های کلیدی مورد استفاده این بازیگران عبارتند از:

• هدف قرار دادن مشاغل مرتبط با ارزهای دیجیتال.
• انجام تحقیقات کامل قبل از عملیات بر روی قربانیان خود قبل از برقراری تماس.
• ایجاد سناریوهای جعلی بسیار شخصی سازی شده برای افزایش احتمال موفقیت.

آنها ممکن است به جزئیات شخصی، مانند علایق، وابستگی ها، رویدادها، روابط، یا ارتباطات حرفه ای اشاره کنند که قربانی ممکن است فکر کند تنها برای تعداد کمی از آنها شناخته شده است. این رویکرد برای ایجاد ارتباط و در نهایت ارائه بدافزار طراحی شده است.

اگر موفق به برقراری ارتباط شوند، بازیگر اولیه یا یکی دیگر از اعضای تیم ممکن است زمان قابل توجهی را صرف تعامل با قربانی کند تا ظاهر مشروعیت را تقویت کند و حس آشنایی و اعتماد را تقویت کند.