Malware COVERTCATCH
Gli autori di minacce nordcoreane sono stati scoperti mentre sfruttavano LinkedIn per colpire gli sviluppatori tramite falsi schemi di reclutamento di lavoro. Una tattica chiave prevede l'uso di test di codifica come metodo di infezione iniziale. Dopo aver coinvolto il bersaglio in una chat, l'aggressore invia un file ZIP camuffato da sfida di codifica Python, che in realtà contiene il malware COVERTCATCH. Una volta eseguito, questo malware avvia un attacco al sistema macOS del bersaglio, scaricando un payload di seconda fase per stabilire la persistenza utilizzando Launch Agent e Launch Daemon.
Sommario
La Corea del Nord resta un attore importante nella criminalità informatica
Tuttavia, questo è solo un esempio tra i vari gruppi di attività, come l'operazione Dream Job e Contagious Interview, portate avanti da gruppi di hacker nordcoreani che utilizzano esche legate al lavoro per diffondere malware.
Le tattiche a tema reclutamento sono state anche comunemente utilizzate per distribuire famiglie di malware come RustBucket e KANDYKORN . Al momento, non è chiaro se COVERTCATCH sia correlato a questi o al TodoSwift appena scoperto.
I ricercatori hanno identificato una campagna di ingegneria sociale in cui un PDF corrotto è stato camuffato da descrizione del lavoro per un "VP of Finance and Operations" presso un importante exchange di criptovalute. Questo PDF ha rilasciato un malware di seconda fase chiamato RustBucket, una backdoor basata su Rust che supporta l'esecuzione di file.
L'impianto RustBucket può raccogliere informazioni di base sul sistema, comunicare con un URL specificato e stabilire la persistenza tramite un agente di avvio mascherato da "Safari Update", consentendogli di contattare un dominio di comando e controllo (C2) codificato in modo rigido.
I gruppi di hacker nordcoreani continuano ad evolversi
L'attenzione della Corea del Nord sulle organizzazioni Web3 si estende oltre l'ingegneria sociale per includere attacchi alla supply chain del software, come dimostrato dai recenti incidenti che hanno coinvolto 3CX e JumpCloud. Una volta che gli aggressori stabiliscono l'accesso tramite malware, passano ai gestori di password per raccogliere credenziali, condurre una ricognizione interna tramite repository di codice e documentazione e infiltrarsi negli ambienti di hosting cloud per scoprire chiavi di portafoglio calde e infine prosciugare i fondi.
Questa rivelazione arriva in concomitanza con un avviso emesso dall'FBI (Federal Bureau of Investigation) statunitense in merito agli autori di minacce nordcoreane che prendono di mira il settore delle criptovalute con campagne di ingegneria sociale altamente specializzate e difficili da rilevare.
Questi sforzi in corso spesso comportano l'impersonificazione di aziende di reclutamento o individui familiari, offrendo opportunità di lavoro o di investimento. Tali tattiche servono da porta d'accesso per audaci furti di criptovalute volti a generare entrate illecite per la Corea del Nord, che rimane sotto sanzioni internazionali.
Gli autori delle minacce utilizzano tattiche personalizzate per infettare i bersagli
Le principali tattiche utilizzate da questi attori includono:
- Prende di mira le aziende legate alle criptovalute.
- Condurre ricerche pre-operative approfondite sulle vittime prima di stabilire un contatto.
- Creare scenari falsi altamente personalizzati per aumentare le probabilità di successo.
Possono fare riferimento a dettagli personali, come interessi, affiliazioni, eventi, relazioni o connessioni professionali che la vittima potrebbe pensare siano noti solo a pochi. Questo approccio è progettato per creare un rapporto e in ultima analisi distribuire malware.
Se riescono a stabilire una comunicazione, l'attore iniziale o un altro membro del team possono investire molto tempo interagendo con la vittima per rafforzare l'apparenza di legittimità e promuovere un senso di familiarità e fiducia.
