COVERTCATCH 맬웨어

북한 위협 행위자들이 LinkedIn을 악용하여 가짜 구인 모집 계획을 통해 개발자를 표적으로 삼는 것으로 밝혀졌습니다. 핵심 전술에는 코딩 테스트를 초기 감염 방법으로 사용하는 것이 포함됩니다. 공격자는 대상과 채팅을 한 후 Python 코딩 챌린지로 위장한 ZIP 파일을 보내는데, 여기에는 실제로 COVERTCATCH 맬웨어가 들어 있습니다. 이 맬웨어가 실행되면 대상의 macOS 시스템에 대한 공격을 시작하여 Launch Agents와 Launch Daemons를 사용하여 지속성을 확립하기 위해 2단계 페이로드를 다운로드합니다.

북한은 여전히 주요 사이버범죄 주자

그러나 이는 북한 해킹 그룹이 직무 관련 미끼를 사용해 맬웨어를 퍼뜨리는 작전인 드림잡 작전과 전염성 인터뷰와 같은 다양한 활동 중 하나에 불과합니다.

모집을 주제로 한 전술은 RustBucket 및 KANDYKORN 과 같은 맬웨어 패밀리를 배포하는 데 일반적으로 사용되었습니다. 현재 COVERTCATCH가 이것들과 관련이 있는지 아니면 새로 발견된 TodoSwift 와 관련이 있는지는 불분명합니다.

연구자들은 주요 암호화폐 거래소의 '재무 및 운영 담당 부사장' 직무 설명으로 위장된 손상된 PDF가 있는 소셜 엔지니어링 캠페인을 확인했습니다. 이 PDF는 파일 실행을 지원하는 Rust 기반 백도어인 RustBucket이라는 2단계 맬웨어를 드롭했습니다.

RustBucket 임플란트는 기본적인 시스템 정보를 수집하고, 지정된 URL과 통신하고, 'Safari 업데이트'로 위장한 Launch Agent를 통해 지속성을 확립하여 하드코딩된 명령 및 제어(C2) 도메인에 연결할 수 있습니다.

북한 해커 그룹, 계속 진화하다

북한의 Web3 조직에 대한 집중은 소셜 엔지니어링을 넘어 소프트웨어 공급망 공격을 포함하며, 이는 최근 3CX와 JumpCloud와 관련된 사건에서 입증되었습니다. 공격자가 맬웨어를 통해 액세스를 확립하면 암호 관리자로 이동하여 자격 증명을 수집하고, 코드 저장소와 문서를 통해 내부 정찰을 수행하고, 클라우드 호스팅 환경에 침투하여 핫 월렛 키를 발견하고 궁극적으로 자금을 빼냅니다.

이번 폭로는 북한의 위협 행위자들이 고도로 전문화되고 감지하기 어려운 사회 공학적 캠페인을 통해 암호화폐 산업을 표적으로 삼고 있다는 미국 연방수사국(FBI)의 경고와 함께 발표되었습니다.

이러한 지속적인 노력에는 종종 채용 회사나 친숙한 개인을 사칭하여 고용 또는 투자 기회를 제공하는 것이 포함됩니다. 이러한 전술은 국제 제재를 받고 있는 북한을 위해 불법 수입을 창출하려는 대담한 암호화폐 강도의 관문 역할을 합니다.

위협 주체는 개인화된 전술을 사용하여 타겟을 감염시킵니다.

이들 행위자들이 사용하는 주요 전술은 다음과 같습니다.

• 암호화폐 관련 사업을 타겟으로 합니다.
• 접촉하기 전에 피해자에 대한 철저한 작전 전 조사를 실시합니다.
• 성공 가능성을 높이기 위해 고도로 개인화된 가짜 시나리오를 만듭니다.

피해자가 소수에게만 알려져 있다고 생각할 수 있는 관심사, 소속, 이벤트, 관계 또는 직업적 연결과 같은 개인 정보를 참조할 수 있습니다. 이 접근 방식은 관계를 구축하고 궁극적으로 맬웨어를 전달하도록 설계되었습니다.

의사소통에 성공하면, 최초의 행위자 또는 다른 팀원이 피해자와 상호 작용하는 데 상당한 시간을 투자하여 합법성의 외관을 강화하고 친밀감과 신뢰감을 조성할 수 있습니다.