COVERTCATCH Haittaohjelma
Pohjois-Korean uhkatekijöiden on löydetty hyödyntävän LinkedIniä kohdistaakseen kehittäjiä väärennettyjen rekrytointijärjestelmien avulla. Keskeinen taktiikka sisältää koodaustestien käyttämisen alkuperäisenä tartuntamenetelmänä. Otettuaan kohteen mukaan chattiin, hyökkääjä lähettää Python-koodaushaasteena naamioituneen ZIP-tiedoston, joka itse asiassa sisältää COVERTCATCH-haittaohjelman. Kun tämä haittaohjelma on suoritettu, se käynnistää hyökkäyksen kohteen macOS-järjestelmää vastaan lataamalla toisen vaiheen hyötykuorman, joka varmistaa pysyvyyden Launch Agentsin ja Launch Daemonsin avulla.
Sisällysluettelo
Pohjois-Korea on edelleen suuri tietoverkkorikollisuuden toimija
Tämä on kuitenkin vain yksi esimerkki useista toimintaklustereista, kuten Operation Dream Job ja Contagious Interview, joita pohjoiskorealaiset hakkerointiryhmät toteuttavat käyttämällä työhön liittyviä vieheitä haittaohjelmien levittämiseen.
Rekrytointiaiheisia taktiikoita on myös käytetty yleisesti haittaohjelmaperheiden, kuten RustBucket ja KANDYKORN , käyttöönotossa. Tällä hetkellä on epäselvää, liittyykö COVERTCATCH näihin vai äskettäin löydettyyn TodoSwiftiin .
Tutkijat ovat havainneet sosiaalisen suunnittelun kampanjan, jossa korruptoitunut PDF naamioitiin suuren kryptovaluuttapörssin talous- ja toimintajohtajan työnkuvaksi. Tästä PDF-tiedostosta poistettiin toisen vaiheen haittaohjelma nimeltä RustBucket, Rust-pohjainen takaovi, joka tukee tiedostojen suorittamista.
RustBucket-implantti voi kerätä järjestelmän perustietoja, kommunikoida tietyn URL-osoitteen kanssa ja varmistaa pysyvyyden Launch Agentin kautta, joka naamioituu "Safari-päivitykseksi", jolloin se voi ottaa yhteyden kovakoodattuihin Command-and-Control (C2) -verkkoalueisiin.
Pohjois-Korean hakkeriryhmät jatkavat kehitystään
Pohjois-Korean keskittyminen Web3-organisaatioihin ulottuu sosiaalisen suunnittelun lisäksi myös ohjelmistojen toimitusketjun hyökkäyksiin, kuten viimeaikaiset 3CX:n ja JumpCloudin tapaukset osoittavat. Kun hyökkääjät löytävät pääsyn haittaohjelmien kautta, he siirtyvät salasanojen hallinnoijien puoleen kerätäkseen valtuustietoja, suorittaakseen sisäistä tutkintaa koodivarastojen ja dokumentaation kautta ja tunkeutuakseen pilvipalveluympäristöihin löytääkseen hot lompakon avaimia ja kuluttaakseen lopulta varoja.
Tämä paljastus liittyy Yhdysvaltain liittovaltion tutkintaviraston (FBI) varoitukseen Pohjois-Korean uhkatoimijoista, jotka kohdistavat kryptovaluuttateollisuuteen erittäin erikoistuneita ja vaikeasti havaittavia sosiaalisen manipuloinnin kampanjoita.
Näihin jatkuvaan pyrkimykseen liittyy usein rekrytointiyritysten tai tuttujen henkilöiden esittämistä, työ- tai sijoitusmahdollisuuksien tarjoamista. Tällainen taktiikka toimii porttina rohkeille kryptoryöstöille, joiden tarkoituksena on tuottaa laittomia tuloja Pohjois-Korealle, joka on edelleen kansainvälisten pakotteiden alainen.
Uhkatoimijat käyttävät henkilökohtaisia taktiikoita tartuttaakseen kohteita
Näiden toimijoiden käyttämiä keskeisiä taktiikoita ovat:
- Kohdennettu kryptovaluuttoihin liittyviin yrityksiin.
- Perusteellisen operaatiota edeltävän tutkimuksen tekeminen uhreista ennen yhteydenottoa.
- Luomalla erittäin henkilökohtaisia väärennettyjä skenaarioita onnistumisen todennäköisyyden lisäämiseksi.
Ne voivat viitata henkilökohtaisiin tietoihin, kuten kiinnostuksen kohteisiin, sidoksiin, tapahtumiin, ihmissuhteisiin tai ammatillisiin yhteyksiin, joita uhri saattaa ajatella tuntevan vain harvat. Tämä lähestymistapa on suunniteltu luomaan suhdetta ja viime kädessä toimittamaan haittaohjelmia.
Jos he onnistuvat luomaan kommunikoinnin, alkuperäinen toimija tai toinen tiimin jäsen voi käyttää paljon aikaa vuorovaikutukseen uhrin kanssa vahvistaakseen legitimiteettiä ja edistääkseen tutun ja luottamuksen tunnetta.
