תוכנה זדונית COVERTCATCH

נמצאו שחקני איומים צפון קוריאנים מנצלים את לינקדאין כדי למקד מפתחים באמצעות תוכניות גיוס עבודה מזויפות. טקטיקה מרכזית כוללת שימוש במבחני קידוד כשיטת ההדבקה הראשונית. לאחר מעורבות המטרה בצ'אט, התוקף שולח קובץ ZIP במסווה של אתגר קידוד Python, המכיל למעשה את התוכנה הזדונית COVERTCATCH. לאחר ביצועה, תוכנה זדונית זו יוזמת התקפה על מערכת ה-macOS של המטרה, תוך הורדת מטען שלב שני כדי לבסס התמדה באמצעות סוכני השקה ו-Launch Daemons.

צפון קוריאה נותרה שחקן פשעי סייבר מרכזי

עם זאת, זו רק דוגמה אחת מבין אשכולות פעילויות שונים - כמו מבצע Dream Job ו-Contagious Interview - שבוצעו על ידי קבוצות פריצה צפון קוריאניות המשתמשות בפתיונות הקשורים לעבודה כדי להפיץ תוכנות זדוניות.

טקטיקות בנושא גיוס היו בשימוש נפוץ גם לפריסת משפחות תוכנות זדוניות כמו RustBucket ו- KANDYKORN . בשלב זה, לא ברור אם COVERTCATCH קשור לאלה או ל- TodoSwift החדש שהתגלה.

חוקרים זיהו קמפיין הנדסה חברתית שבו קובץ PDF מושחת הוסווה כתיאור תפקיד של 'סמנכ"ל כספים ותפעול' בבורסת מטבעות קריפטוגרפיים גדולה. PDF זה הפיל תוכנה זדונית בשלב שני בשם RustBucket, דלת אחורית מבוססת Rust התומכת בביצוע קבצים.

שתל ה-RustBucket יכול לאסוף מידע בסיסי על המערכת, לתקשר עם כתובת URL מוגדרת וליצור התמדה באמצעות סוכן הפעלה שמתחזה ל'עדכון ספארי', המאפשר לו ליצור קשר עם תחום Command-and-Control (C2) מקודד.

קבוצות האקרים צפון קוריאניות ממשיכות להתפתח

ההתמקדות של צפון קוריאה בארגוני Web3 משתרעת מעבר להנדסה חברתית וכוללת התקפות שרשרת אספקת התוכנה, כפי שהוכח בתקריות האחרונות בהן היו מעורבים 3CX ו-JumpCloud. ברגע שתוקפים יוצרים גישה באמצעות תוכנות זדוניות, הם עוברים למנהלי סיסמאות כדי לאסוף אישורים, לבצע סיור פנימי דרך מאגרי קוד ותיעוד, ולחדור לסביבות אירוח בענן כדי לחשוף מפתחות ארנק חמים ובסופו של דבר לרוקן כספים.

גילוי זה מגיע יחד עם אזהרה שהוציאה משרד החקירות הפדרלי של ארה"ב (FBI) על גורמי איומים צפון קוריאנים המכוונים לתעשיית מטבעות הקריפטו בקמפיינים מיוחדים מאוד וקשים לזיהוי של הנדסה חברתית.

מאמצים מתמשכים אלה כוללים לעתים קרובות התחזות לחברות מגייסות או אנשים מוכרים, להציע הזדמנויות תעסוקה או השקעה. טקטיקות כאלה משמשות שער לשוד קריפטו נועז שנועדו לייצר הכנסה בלתי חוקית לצפון קוריאה, שנותרה תחת סנקציות בינלאומיות.

שחקני איומים משתמשים בטקטיקות מותאמות אישית כדי להדביק מטרות

טקטיקות מפתח בהן משתמשים שחקנים אלה כוללות:

• מיקוד לעסקים הקשורים למטבעות קריפטוגרפיים.
• ביצוע מחקר יסודי לפני ניתוח על הקורבנות שלהם לפני יצירת קשר.
• יצירת תרחישים מזויפים בהתאמה אישית להגדלת הסיכוי להצלחה.

הם עשויים להתייחס לפרטים אישיים, כגון תחומי עניין, השתייכות, אירועים, מערכות יחסים או קשרים מקצועיים שהקורבן עשוי לחשוב שהם ידועים רק למעטים. גישה זו נועדה לבנות קרבה ובסופו של דבר לספק תוכנות זדוניות.

אם יצליחו לבסס תקשורת, השחקן הראשוני או חבר צוות אחר עשויים להשקיע זמן משמעותי באינטראקציה עם הקורבן כדי לשפר את מראה הלגיטימיות ולטפח תחושת היכרות ואמון.