COVERTCATCH Malware
Utvrđeno je da akteri prijetnji iz Sjeverne Koreje iskorištavaju LinkedIn za ciljanje programera putem lažnih shema zapošljavanja. Ključna taktika uključuje korištenje testova kodiranja kao početne metode infekcije. Nakon što je metu uključio u chat, napadač šalje ZIP datoteku prerušenu u izazov kodiranja Pythona, koja zapravo sadrži zlonamjerni softver COVERTCATCH. Nakon što se izvrši, ovaj zlonamjerni softver inicira napad na ciljni macOS sustav, preuzimajući korisni teret druge faze kako bi uspostavio postojanost pomoću Launch Agents i Launch Daemons.
Sadržaj
Sjeverna Koreja ostaje glavni igrač kibernetičkog kriminala
Međutim, ovo je samo jedan primjer među različitim skupinama aktivnosti — kao što su Operacija Posao iz snova i Zarazni intervju — koje provode sjevernokorejske hakerske skupine koristeći mamce vezane uz posao za širenje zlonamjernog softvera.
Taktike regrutiranja često su korištene za implementaciju obitelji zlonamjernih programa kao što su RustBucket i KANDYKORN . U ovom trenutku nije jasno je li COVERTCATCH povezan s njima ili s novootkrivenim TodoSwiftom .
Istraživači su identificirali kampanju društvenog inženjeringa u kojoj je pokvareni PDF bio prerušen u opis posla za 'potpredsjednika financija i operacija' u velikoj mjenjačnici kriptovaluta. Ovaj PDF ispustio je zlonamjerni softver druge faze pod nazivom RustBucket, backdoor temeljen na Rustu koji podržava izvršavanje datoteka.
Implantat RustBucket može prikupljati osnovne informacije o sustavu, komunicirati s određenim URL-om i uspostaviti postojanost putem agenta za pokretanje koji se maskira kao 'Safari ažuriranje', omogućujući mu da kontaktira tvrdo kodiranu Command-and-Control (C2) domenu.
Sjevernokorejske hakerske skupine nastavljaju se razvijati
Fokus Sjeverne Koreje na Web3 organizacije proteže se izvan društvenog inženjeringa i uključuje napade na lanac nabave softvera, kao što pokazuju nedavni incidenti koji uključuju 3CX i JumpCloud. Nakon što napadači uspostave pristup putem zlonamjernog softvera, prelaze na upravitelje lozinki kako bi prikupili vjerodajnice, proveli interno izviđanje kroz spremišta kodova i dokumentaciju te se infiltrirali u okruženja hostinga u oblaku kako bi otkrili vruće ključeve novčanika i naposljetku iscrpili sredstva.
Ovo otkriće dolazi u kombinaciji s upozorenjem koje je izdao američki Federalni istražni ured (FBI) o sjevernokorejskim akterima prijetnji koji ciljaju industriju kriptovaluta s visoko specijaliziranim kampanjama društvenog inženjeringa koje je teško otkriti.
Ti stalni napori često uključuju lažno predstavljanje tvrtki za zapošljavanje ili poznatih pojedinaca, nudeći zaposlenje ili mogućnosti ulaganja. Takve taktike služe kao prolaz za smjele pljačke kriptovaluta s namjerom generiranja nezakonitog prihoda za Sjevernu Koreju, koja je i dalje pod međunarodnim sankcijama.
Akteri prijetnje koriste personalizirane taktike za zarazu meta
Ključne taktike koje koriste ti akteri uključuju:
- Ciljanje na tvrtke povezane s kriptovalutama.
- Provođenje temeljitog predoperativnog istraživanja njihovih žrtava prije uspostavljanja kontakta.
- Stvaranje vrlo personaliziranih lažnih scenarija za povećanje vjerojatnosti uspjeha.
Mogu se odnositi na osobne podatke, kao što su interesi, veze, događaji, odnosi ili profesionalne veze za koje žrtva može misliti da su poznati samo nekolicini. Ovaj pristup osmišljen je za izgradnju odnosa i konačno isporuku zlonamjernog softvera.
Ako uspiju uspostaviti komunikaciju, početni akter ili drugi član tima može uložiti značajno vrijeme u interakciju sa žrtvom kako bi poboljšao dojam legitimnosti i potaknuo osjećaj bliskosti i povjerenja.
