COVERTCATCH ļaunprātīga programmatūra
Tika konstatēts, ka Ziemeļkorejas draudu dalībnieki izmanto LinkedIn, lai mērķētu uz izstrādātājiem, izmantojot viltus darbā pieņemšanas shēmas. Galvenā taktika ietver kodēšanas testu izmantošanu kā sākotnējo infekcijas metodi. Pēc mērķa iesaistīšanas tērzēšanā uzbrucējs nosūta ZIP failu, kas ir slēpts kā Python kodēšanas izaicinājums, kurā faktiski ir COVERTCATCH ļaunprogrammatūra. Kad šī ļaunprogrammatūra ir izpildīta, tā sāk uzbrukumu mērķa macOS sistēmai, lejupielādējot otrās pakāpes lietderīgo slodzi, lai, izmantojot Launch Agents un Launch Daemons, nodrošinātu noturību.
Satura rādītājs
Ziemeļkoreja joprojām ir galvenā kibernoziedzības spēlētāja
Tomēr šis ir tikai viens piemērs no dažādām aktivitāšu grupām, piemēram, operācija Dream Job un Contagious Interview, ko veic Ziemeļkorejas hakeru grupas, izmantojot ar darbu saistītas pievilināšanas, lai izplatītu ļaunprātīgu programmatūru.
Darbā vervēšanas taktikas parasti tiek izmantotas arī tādu ļaunprātīgas programmatūras ģimeņu izvietošanai kā RustBucket un KANDYKORN . Pašlaik nav skaidrs, vai COVERTCATCH ir saistīts ar šiem vai jaunatklāto TodoSwift .
Pētnieki ir atklājuši sociālās inženierijas kampaņu, kurā bojāts PDF fails tika slēpts kā “finanšu un operāciju viceprezidenta” amata apraksts lielajā kriptovalūtu biržā. Šajā PDF failā tika noņemta otrās pakāpes ļaunprogrammatūra RustBucket — uz Rust balstīta aizmugures durvis, kas atbalsta failu izpildi.
RustBucket implants var apkopot sistēmas pamatinformāciju, sazināties ar noteiktu URL un nodrošināt noturību, izmantojot palaišanas aģentu, kas tiek maskēts kā “Safari atjauninājums”, ļaujot tam sazināties ar cieti kodētu Command-and-Control (C2) domēnu.
Ziemeļkorejas hakeru grupas turpina attīstīties
Ziemeļkoreja koncentrējas uz Web3 organizācijām ne tikai sociālo inženieriju, bet arī programmatūras piegādes ķēdes uzbrukumus, kā liecina nesenie incidenti, kas saistīti ar 3CX un JumpCloud. Kad uzbrucēji nodrošina piekļuvi, izmantojot ļaunprātīgu programmatūru, viņi pāriet uz paroļu pārvaldniekiem, lai savāktu akreditācijas datus, veiktu iekšējo izlūkošanu, izmantojot kodu krātuvjus un dokumentāciju, un iefiltrētos mākoņa mitināšanas vidēs, lai atklātu karstā maka atslēgas un galu galā iztērētu līdzekļus.
Šī atklāsme nāk saistībā ar ASV Federālā izmeklēšanas biroja (FIB) brīdinājumu par Ziemeļkorejas draudu dalībniekiem, kas vērsti pret kriptovalūtu nozari ar ļoti specializētām un grūti nosakāmām sociālās inženierijas kampaņām.
Šie nepārtrauktie centieni bieži ietver uzdošanos par darbā iekārtošanas firmām vai pazīstamām personām, piedāvājot darba vai ieguldījumu iespējas. Šāda taktika kalpo kā vārti pārdrošiem kriptovalūtu aplaupīšanas gadījumiem, kuru mērķis ir radīt nelikumīgus ienākumus Ziemeļkorejai, uz kuru joprojām attiecas starptautiskās sankcijas.
Draudu aktieri izmanto personalizētu taktiku, lai inficētu mērķus
Galvenās taktikas, ko izmanto šie dalībnieki, ir:
- Mērķauditorijas atlase ar kriptovalūtām saistītiem uzņēmumiem.
- Veicot rūpīgu pirmsoperācijas izpēti par saviem upuriem pirms sazināšanās.
- Ļoti personalizētu viltus scenāriju izveide, lai palielinātu veiksmes iespējamību.
Tie var atsaukties uz personas informāciju, piemēram, interesēm, radniecību, notikumiem, attiecībām vai profesionāliem sakariem, par kuriem upuris varētu šķist, ka to zina tikai daži. Šī pieeja ir izstrādāta, lai izveidotu saikni un galu galā piegādātu ļaunprātīgu programmatūru.
Ja viņiem izdodas nodibināt komunikāciju, sākotnējais aktieris vai cits komandas loceklis var veltīt ievērojamu laiku mijiedarbībai ar upuri, lai uzlabotu leģitimitātes izskatu un veicinātu pazīstamības un uzticības sajūtu.
