COVERTCATCH kenkėjiška programa
Nustatyta, kad Šiaurės Korėjos grėsmės veikėjai išnaudoja „LinkedIn“, kad taikytųsi į kūrėjus per netikras įdarbinimo schemas. Pagrindinė taktika apima kodavimo testų naudojimą kaip pradinį infekcijos metodą. Įtraukęs taikinį į pokalbį, užpuolikas siunčia ZIP failą, paslėptą kaip Python kodavimo iššūkis, kuriame iš tikrųjų yra COVERTCATCH kenkėjiška programa. Įvykdžiusi, ši kenkėjiška programa pradeda ataką prieš taikinio „MacOS“ sistemą, atsisiųsdama antrojo etapo naudingąją apkrovą, kad užtikrintų patvarumą naudojant paleidimo agentus ir paleidimo demonus.
Turinys
Šiaurės Korėja išlieka pagrindine kibernetinių nusikaltimų žaidėja
Tačiau tai tik vienas pavyzdys iš įvairių veiklos grupių, tokių kaip operacija „Svajonių darbas“ ir „Užkrečiamasis interviu“, kurias Šiaurės Korėjos įsilaužėlių grupės vykdo naudodamos su darbu susijusius masalus kenkėjiškoms programoms platinti.
Įdarbinimo tematika taip pat dažnai buvo naudojama kenkėjiškų programų šeimoms, pvz., RustBucket ir KANDYKORN, diegti. Šiuo metu neaišku, ar COVERTCATCH yra susijęs su šiais ar naujai atrastu TodoSwift .
Tyrėjai nustatė socialinės inžinerijos kampaniją, kurios metu sugadintas PDF failas buvo užmaskuotas kaip „Finansų ir operacijų viceprezidento“ pareigybės aprašymas didelėje kriptovaliutų biržoje. Šis PDF failas pašalino antrosios pakopos kenkėjišką programą, vadinamą RustBucket, rūdžių pagrindu sukurtą užpakalinę durelę, kuri palaiko failų vykdymą.
„RustBucket“ implantas gali rinkti pagrindinę sistemos informaciją, susisiekti su nurodytu URL ir užtikrinti patvarumą per paleidimo agentą, kuris yra „Safari“ naujinimas, leidžiantis susisiekti su sunkiai užkoduotu komandų ir valdymo (C2) domenu.
Šiaurės Korėjos įsilaužėlių grupės toliau vystosi
Šiaurės Korėjos dėmesys Web3 organizacijoms apima ne tik socialinę inžineriją, bet ir programinės įrangos tiekimo grandinės atakas, kaip parodė naujausi incidentai, susiję su 3CX ir JumpCloud. Kai užpuolikai nustato prieigą per kenkėjiškas programas, jie pereina į slaptažodžių tvarkykles, kad surinktų kredencialus, atliktų vidinę žvalgybą per kodų saugyklas ir dokumentus, ir įsiskverbtų į debesų prieglobos aplinkas, kad atskleistų karštosios piniginės raktus ir galiausiai išeikvotų lėšas.
Šis atskleidimas susijęs su JAV Federalinio tyrimų biuro (FTB) įspėjimu apie Šiaurės Korėjos grėsmių veikėjus, besitaikančius į kriptovaliutų pramonę, vykdydamos labai specializuotas ir sunkiai aptinkamas socialinės inžinerijos kampanijas.
Šios nuolatinės pastangos dažnai apima apsimetinėjimą įdarbinimo įmonėmis ar pažįstamais asmenimis, siūlant darbo ar investavimo galimybes. Tokia taktika yra įžūlių kriptovaliutų vagysčių vartai, kuriais siekiama gauti neteisėtų pajamų Šiaurės Korėjai, kuriai ir toliau taikomos tarptautinės sankcijos.
Grėsmių aktoriai naudoja individualizuotą taktiką, kad užkrėstų taikinius
Pagrindinės šių veikėjų naudojamos taktikos:
- Taikymas su kriptovaliutomis susijusioms įmonėms.
- Prieš užmezgant ryšį, atlikti išsamų priešoperacinį savo aukų tyrimą.
- Labai suasmenintų netikrų scenarijų kūrimas, siekiant padidinti sėkmės tikimybę.
Jie gali nurodyti asmeninę informaciją, pvz., interesus, ryšius, įvykius, santykius ar profesinius ryšius, kuriuos auka gali manyti žinomi tik nedaugeliui. Šis metodas sukurtas siekiant sukurti ryšį ir galiausiai pristatyti kenkėjiškas programas.
Jei jiems pavyksta užmegzti ryšį, pradinis veikėjas ar kitas komandos narys gali skirti daug laiko bendraudamas su auka, kad sustiprintų teisėtumo vaizdą ir ugdytų pažįstamumo bei pasitikėjimo jausmą.
