COVERTCATCH-malware
Noord-Koreaanse dreigingsactoren zijn betrapt op het misbruiken van LinkedIn om ontwikkelaars te targeten via nep-wervingsschema's. Een belangrijke tactiek is het gebruik van coderingstests als eerste infectiemethode. Nadat de aanvaller het doelwit in een chat heeft aangesproken, stuurt hij een ZIP-bestand vermomd als een Python-coderingsuitdaging, die in werkelijkheid de COVERTCATCH-malware bevat. Nadat deze malware is uitgevoerd, start deze een aanval op het macOS-systeem van het doelwit en downloadt een tweede fase-payload om persistentie te vestigen met behulp van Launch Agents en Launch Daemons.
Inhoudsopgave
Noord-Korea blijft een belangrijke speler op het gebied van cybercriminaliteit
Dit is echter slechts één voorbeeld van verschillende clusters van activiteiten, zoals Operation Dream Job en Contagious Interview, die worden uitgevoerd door Noord-Koreaanse hackersgroepen die werkgerelateerde lokmiddelen gebruiken om malware te verspreiden.
Tactieken met een rekruteringsthema zijn ook vaak gebruikt om malwarefamilies zoals RustBucket en KANDYKORN te implementeren. Op dit moment is het onduidelijk of COVERTCATCH gerelateerd is aan deze of de nieuw ontdekte TodoSwift .
Onderzoekers hebben een social engineering-campagne geïdentificeerd waarbij een corrupte PDF werd vermomd als een functiebeschrijving voor een 'VP of Finance and Operations' bij een grote cryptocurrency-beurs. Deze PDF liet een tweede-fase malware genaamd RustBucket vallen, een Rust-gebaseerde backdoor die bestandsuitvoering ondersteunt.
Het RustBucket-implantaat kan basissysteemgegevens verzamelen, communiceren met een opgegeven URL en persistentie tot stand brengen via een Launch Agent die zich voordoet als een 'Safari Update', waardoor verbinding kan worden gemaakt met een hardgecodeerd Command-and-Control (C2)-domein.
Noord-Koreaanse hackersgroepen blijven zich ontwikkelen
Noord-Korea's focus op Web3-organisaties reikt verder dan social engineering en omvat ook software supply chain-aanvallen, zoals blijkt uit recente incidenten met 3CX en JumpCloud. Zodra aanvallers toegang krijgen via malware, stappen ze over op wachtwoordmanagers om inloggegevens te verzamelen, voeren ze interne verkenningen uit via coderepositories en documentatie en infiltreren ze cloudhostingomgevingen om hot wallet-sleutels te ontdekken en uiteindelijk fondsen te plunderen.
Deze onthulling volgt op een waarschuwing van de Amerikaanse Federal Bureau of Investigation (FBI) over Noord-Koreaanse criminelen die de cryptovaluta-industrie aanvallen met zeer gespecialiseerde en moeilijk te detecteren social engineering-campagnes.
Deze voortdurende inspanningen omvatten vaak het imiteren van wervingsbureaus of bekende personen, die werkgelegenheid of investeringsmogelijkheden aanbieden. Dergelijke tactieken dienen als toegangspoort voor gedurfde crypto-overvallen die bedoeld zijn om illegaal inkomen te genereren voor Noord-Korea, dat nog steeds onder internationale sancties valt.
Dreigingsactoren gebruiken gepersonaliseerde tactieken om doelen te infecteren
Belangrijke tactieken die door deze actoren worden gebruikt, zijn onder meer:
- Gericht op bedrijven die zich bezighouden met cryptovaluta.
- Voer grondig pre-operationeel onderzoek uit naar hun slachtoffers voordat ze contact opnemen.
- Het creëren van zeer gepersonaliseerde nepscenario's om de kans op succes te vergroten.
Ze kunnen verwijzen naar persoonlijke details, zoals interesses, affiliaties, evenementen, relaties of professionele connecties waarvan het slachtoffer denkt dat ze alleen bij een paar mensen bekend zijn. Deze aanpak is ontworpen om een band op te bouwen en uiteindelijk malware te leveren.
Als het ze lukt om communicatie tot stand te brengen, kan de eerste dader of een ander teamlid veel tijd besteden aan de interactie met het slachtoffer om de schijn van legitimiteit te versterken en een gevoel van vertrouwdheid en vertrouwen te creëren.