COVERTCATCH Malware
Nordkoreanske trusselaktører har blitt funnet å utnytte LinkedIn for å målrette mot utviklere gjennom falske jobbrekrutteringsplaner. En nøkkeltaktikk innebærer å bruke kodingstester som den første infeksjonsmetoden. Etter å ha engasjert målet i en chat, sender angriperen en ZIP-fil forkledd som en Python-kodingsutfordring, som faktisk inneholder COVERTCATCH malware. Når den er utført, starter denne skadelige programvaren et angrep på målets macOS-system, og laster ned en nyttelast i andre trinn for å etablere utholdenhet ved å bruke Launch Agents og Launch Daemons.
Innholdsfortegnelse
Nord-Korea er fortsatt den største aktøren innen nettkriminalitet
Dette er imidlertid bare ett eksempel blant ulike aktivitetsklynger – som Operation Dream Job og Contagious Interview – utført av nordkoreanske hackergrupper som bruker jobbrelaterte lokker for å spre skadelig programvare.
Taktikk med rekrutteringstema har også blitt ofte brukt for å distribuere skadevarefamilier som RustBucket og KANDYKORN . Foreløpig er det uklart om COVERTCATCH er relatert til disse eller den nyoppdagede TodoSwift .
Forskere har identifisert en sosial ingeniørkampanje der en korrupt PDF-fil ble forkledd som en stillingsbeskrivelse for en "VP of Finance and Operations" ved en større kryptovalutabørs. Denne PDF-filen droppet en andre-trinns skadelig programvare kalt RustBucket, en Rust-basert bakdør som støtter filkjøring.
RustBucket-implantatet kan samle inn grunnleggende systeminformasjon, kommunisere med en spesifisert URL og etablere persistens gjennom en Launch Agent som utgir seg for en "Safari Update", som gjør det mulig å kontakte et hardkodet Command-and-Control-domene (C2).
Nordkoreanske hackergrupper fortsetter å utvikle seg
Nord-Koreas fokus på Web3-organisasjoner strekker seg utover sosial engineering til å inkludere programvareforsyningskjedeangrep, som demonstrert av nylige hendelser som involverer 3CX og JumpCloud. Når angripere etablerer tilgang gjennom skadelig programvare, flytter de til passordadministratorer for å samle inn legitimasjon, utføre intern rekognosering gjennom kodelagre og dokumentasjon, og infiltrere skyvertsmiljøer for å avdekke hot wallet-nøkler og til slutt tappe penger.
Denne avsløringen kommer i forbindelse med en advarsel utstedt av US Federal Bureau of Investigation (FBI) om nordkoreanske trusselaktører som retter seg mot kryptovalutaindustrien med høyt spesialiserte og vanskelig å oppdage sosiale ingeniørkampanjer.
Disse pågående innsatsene involverer ofte å utgi seg for å være rekrutterende firmaer eller kjente personer, tilby sysselsetting eller investeringsmuligheter. Slike taktikker fungerer som en inngangsport for dristige krypto-raver som har til hensikt å generere ulovlige inntekter til Nord-Korea, som fortsatt er under internasjonale sanksjoner.
Trusselaktører bruker personlig taktikk for å infisere mål
Viktige taktikker brukt av disse aktørene inkluderer:
- Målretting mot kryptovaluta-relaterte virksomheter.
- Gjennomføre grundig preoperativ forskning på ofrene før de tar kontakt.
- Lage svært personlige falske scenarier for å øke sannsynligheten for suksess.
De kan referere til personlige detaljer, for eksempel interesser, tilknytninger, hendelser, forhold eller profesjonelle forbindelser som offeret kanskje tror er kjent for bare noen få. Denne tilnærmingen er utviklet for å bygge rapport og til slutt levere skadevare.
Hvis de lykkes med å etablere kommunikasjon, kan den første aktøren eller et annet teammedlem investere betydelig tid i å samhandle med offeret for å styrke utseendet til legitimitet og fremme en følelse av fortrolighet og tillit.
