COVERTCATCH Malware
Észak-koreai fenyegetést jelentő szereplőket találtak, akik kihasználják a LinkedIn-t, hogy hamis munkaerő-toborzási programokon keresztül fejlesztőket célozzanak meg. A kulcsfontosságú taktika a kódolási tesztek alkalmazása a fertőzés kezdeti módszereként. Miután bevonta a célpontot egy csevegésbe, a támadó Python kódolási kihívásnak álcázott ZIP-fájlt küld, amely valójában a COVERTCATCH kártevőt tartalmazza. A végrehajtást követően ez a rosszindulatú program támadást indít a célpont macOS rendszere ellen, és letölt egy második lépcsős rakományt, hogy a Launch Agents és Launch Daemons segítségével biztosítsa a tartósságot.
Tartalomjegyzék
Észak-Korea továbbra is a kiberbűnözés fő szereplője
Ez azonban csak egy példa a különféle tevékenységcsoportok közül – mint például az Operation Dream Job és a Contagious Interview –, amelyeket észak-koreai hackercsoportok hajtanak végre, munkához kapcsolódó csalikkal rosszindulatú programok terjesztésére.
A toborzási témájú taktikákat gyakran alkalmazzák olyan rosszindulatú programcsaládok telepítésére is, mint a RustBucket és a KANDYKORN . Egyelőre nem világos, hogy a COVERTCATCH ezekhez vagy az újonnan felfedezett TodoSwifthez kapcsolódik-e.
A kutatók beazonosítottak egy szociális tervezési kampányt, amelyben egy korrupt PDF-fájlt egy nagy kriptovaluta tőzsde „pénzügyi és műveleti alelnöke” munkaköri leírásának álcáztak. Ez a PDF kidobott egy RustBucket nevű, második fokozatú kártevőt, egy Rust-alapú hátsó ajtót, amely támogatja a fájlfuttatást.
A RustBucket implantátum alapvető rendszerinformációkat gyűjthet, kommunikálhat egy megadott URL-lel, és a „Safari-frissítésnek” álcázott Launch Agenten keresztül tartósságot biztosíthat, lehetővé téve számára, hogy kapcsolatba léphessen egy kemény kódolt Command-and-Control (C2) tartománynal.
Az észak-koreai hackercsoportok tovább fejlődnek
Észak-Korea a Web3-as szervezetekre összpontosítva a szociális tervezésen túl kiterjed a szoftver-ellátási lánc támadásaira is, amint azt a közelmúltban a 3CX-et és a JumpCloudot érintő incidensek is bizonyítják. Amint a támadók hozzáférést biztosítanak a rosszindulatú programokon keresztül, a jelszókezelőkhöz költöznek, hogy hitelesítő adatokat gyűjtsenek, belső felderítést végezzenek a kódtárolókon és a dokumentáción keresztül, és beszivárogjanak a felhőalapú tárhelykörnyezetekbe, hogy feltárják a hot wallet kulcsait, és végül elszívják a pénzeszközöket.
Ez a kinyilatkoztatás az Egyesült Államok Szövetségi Nyomozó Iroda (FBI) figyelmeztetésével jár együtt, amely az észak-koreai fenyegetés szereplőire vonatkozik, akik a kriptovaluta-ipart célozzák meg rendkívül speciális és nehezen észlelhető szociális tervezési kampányokkal.
Ezek a folyamatos erőfeszítések gyakran magukban foglalják cégek vagy ismerős személyek toborzását, állás- vagy befektetési lehetőségeket kínálva. Az ilyen taktikák átjáróként szolgálnak a merész kriptorablások számára, amelyek célja, hogy tiltott bevételt szerezzenek Észak-Koreának, amely továbbra is nemzetközi szankciók hatálya alatt áll.
A fenyegetés szereplői személyre szabott taktikákat alkalmaznak a célpontok megfertőzésére
A szereplők által használt kulcsfontosságú taktikák a következők:
- A kriptovalutákkal kapcsolatos vállalkozások megcélzása.
- A kapcsolatfelvétel előtt alapos operáció előtti kutatást végeznek áldozataikon.
- Erősen személyre szabott hamis forgatókönyvek létrehozása a siker valószínűségének növelése érdekében.
Hivatkozhatnak olyan személyes adatokra, mint például érdeklődési körök, kapcsolatok, események, kapcsolatok vagy szakmai kapcsolatok, amelyekről az áldozat azt gondolhatja, hogy csak kevesen ismerik. Ezt a megközelítést úgy tervezték, hogy kapcsolatot építsen ki, és végső soron rosszindulatú programokat szállítson.
Ha sikerül kialakítaniuk a kommunikációt, a kezdeti szereplő vagy egy másik csapattag jelentős időt fordíthat az áldozattal való interakcióba, hogy fokozza a legitimitás látszatát, és elősegítse az ismerősség és a bizalom érzését.
