COVERTCATCH Perisian Hasad
Aktor ancaman Korea Utara didapati mengeksploitasi LinkedIn untuk menyasarkan pemaju melalui skim pengambilan pekerjaan palsu. Taktik utama melibatkan penggunaan ujian pengekodan sebagai kaedah jangkitan awal. Selepas melibatkan sasaran dalam sembang, penyerang menghantar fail ZIP yang menyamar sebagai cabaran pengekodan Python, yang sebenarnya mengandungi perisian hasad COVERTCATCH. Setelah dilaksanakan, perisian hasad ini memulakan serangan ke atas sistem macOS sasaran, memuat turun muatan peringkat kedua untuk mewujudkan kegigihan menggunakan Agen Pelancaran dan Daemon Pelancaran.
Isi kandungan
Korea Utara Kekal Menjadi Pemain Jenayah Siber Utama
Walau bagaimanapun, ini hanyalah satu contoh antara pelbagai kumpulan aktiviti—seperti Operation Dream Job dan Contagious Interview—yang dijalankan oleh kumpulan penggodam Korea Utara menggunakan gewang berkaitan pekerjaan untuk menyebarkan perisian hasad.
Taktik bertemakan pengambilan juga lazimnya digunakan untuk menggunakan keluarga perisian hasad seperti RustBucket dan KANDYKORN . Pada masa ini, tidak jelas sama ada COVERTCATCH berkaitan dengan ini atau TodoSwift yang baru ditemui.
Penyelidik telah mengenal pasti kempen kejuruteraan sosial di mana PDF yang korup telah menyamar sebagai huraian kerja untuk 'VP Kewangan dan Operasi' di bursa mata wang kripto utama. PDF ini menggugurkan perisian hasad peringkat kedua yang dipanggil RustBucket, pintu belakang berasaskan Rust yang menyokong pelaksanaan fail.
Implan RustBucket boleh mengumpul maklumat sistem asas, berkomunikasi dengan URL yang ditentukan dan mewujudkan kegigihan melalui Ejen Pelancaran yang menyamar sebagai 'Kemas Kini Safari,' membolehkannya menghubungi domain Command-and-Control (C2) berkod keras.
Kumpulan Penggodam Korea Utara Terus Berkembang
Tumpuan Korea Utara pada organisasi Web3 melangkaui kejuruteraan sosial untuk memasukkan serangan rantaian bekalan perisian, seperti yang ditunjukkan oleh insiden baru-baru ini yang melibatkan 3CX dan JumpCloud. Sebaik sahaja penyerang mewujudkan akses melalui perisian hasad, mereka beralih kepada pengurus kata laluan untuk mengumpul bukti kelayakan, menjalankan peninjauan dalaman melalui repositori dan dokumentasi kod, dan menyusup ke persekitaran pengehosan awan untuk mendedahkan kunci dompet panas dan akhirnya menghabiskan dana.
Pendedahan ini datang bersempena dengan amaran yang dikeluarkan oleh Biro Penyiasatan Persekutuan (FBI) AS mengenai pelakon ancaman Korea Utara yang menyasarkan industri mata wang kripto dengan kempen kejuruteraan sosial yang sangat khusus dan sukar dikesan.
Usaha berterusan ini selalunya melibatkan penyamaran sebagai firma perekrut atau individu biasa, menawarkan peluang pekerjaan atau pelaburan. Taktik sedemikian berfungsi sebagai pintu masuk untuk rompakan kripto yang berani bertujuan untuk menjana pendapatan haram untuk Korea Utara, yang kekal di bawah sekatan antarabangsa.
Pelakon Ancaman Menggunakan Taktik Diperibadikan untuk Menjangkiti Sasaran
Taktik utama yang digunakan oleh pelakon ini termasuk:
- Menyasarkan perniagaan berkaitan mata wang kripto.
- Menjalankan penyelidikan pra-operasi yang menyeluruh terhadap mangsa mereka sebelum membuat hubungan.
- Mencipta senario palsu yang sangat diperibadikan untuk meningkatkan kemungkinan kejayaan.
Mereka mungkin merujuk butiran peribadi, seperti minat, gabungan, acara, perhubungan atau hubungan profesional yang mungkin difikirkan oleh mangsa hanya diketahui oleh segelintir orang. Pendekatan ini direka bentuk untuk membina hubungan dan akhirnya menghantar perisian hasad.
Jika mereka berjaya mewujudkan komunikasi, pelakon awal atau ahli pasukan lain mungkin meluangkan masa yang banyak untuk berinteraksi dengan mangsa untuk meningkatkan penampilan kesahihan dan memupuk rasa akrab dan kepercayaan.
