Oprogramowanie szpiegujące COVERTCATCH
Odkryto, że północnokoreańscy aktorzy zagrożeń wykorzystują LinkedIn do atakowania programistów za pomocą fałszywych schematów rekrutacji. Kluczową taktyką jest używanie testów kodowania jako początkowej metody infekcji. Po zaangażowaniu celu w czacie atakujący wysyła plik ZIP zamaskowany jako wyzwanie kodowania Pythona, który w rzeczywistości zawiera złośliwe oprogramowanie COVERTCATCH. Po uruchomieniu to złośliwe oprogramowanie inicjuje atak na system macOS celu, pobierając ładunek drugiego etapu w celu ustanowienia trwałości za pomocą agentów uruchamiania i demonów uruchamiania.
Spis treści
Korea Północna pozostaje głównym graczem w cyberprzestępczości
Jest to jednak tylko jeden przykład spośród wielu grup działań, takich jak Operation Dream Job i Contagious Interview, przeprowadzanych przez północnokoreańskie grupy hakerskie, które wykorzystują wabiki związane z pracą do rozprzestrzeniania złośliwego oprogramowania.
Taktyki związane z rekrutacją były również powszechnie używane do wdrażania rodzin malware, takich jak RustBucket i KANDYKORN . W tej chwili nie jest jasne, czy COVERTCATCH jest powiązany z nimi, czy z nowo odkrytym TodoSwift .
Badacze zidentyfikowali kampanię socjotechniczną, w której uszkodzony plik PDF został zamaskowany jako opis stanowiska „wiceprezesa ds. finansów i operacji” w dużej giełdzie kryptowalut. Ten plik PDF upuścił złośliwe oprogramowanie drugiego etapu o nazwie RustBucket, tylne wejście oparte na Rust, które obsługuje wykonywanie plików.
Implant RustBucket może zbierać podstawowe informacje o systemie, komunikować się z określonym adresem URL i ustanawiać trwałość za pośrednictwem agenta uruchamiania, który maskuje się jako „aktualizacja Safari”, umożliwiając mu kontakt z zakodowaną na stałe domeną Command-and-Control (C2).
Północnokoreańskie grupy hakerów nadal się rozwijają
Skupienie Korei Północnej na organizacjach Web3 wykracza poza inżynierię społeczną, obejmując ataki na łańcuch dostaw oprogramowania, co wykazały niedawne incydenty z udziałem 3CX i JumpCloud. Gdy atakujący nawiążą dostęp za pomocą złośliwego oprogramowania, przechodzą do menedżerów haseł, aby zebrać dane uwierzytelniające, przeprowadzić wewnętrzny rekonesans za pomocą repozytoriów kodu i dokumentacji oraz zinfiltrować środowiska hostingu w chmurze, aby odkryć klucze hot wallet i ostatecznie wyczerpać fundusze.
Odkrycie to zbiegło się z ostrzeżeniem wydanym przez Federalne Biuro Śledcze (FBI) w sprawie północnokoreańskich cyberprzestępców, którzy atakują branżę kryptowalut za pomocą wyspecjalizowanych i trudnych do wykrycia kampanii socjotechnicznych.
Te trwające wysiłki często obejmują podszywanie się pod firmy rekrutacyjne lub znane osoby, oferując zatrudnienie lub możliwości inwestycyjne. Takie taktyki stanowią furtkę dla zuchwałych napadów na kryptowaluty, których celem jest generowanie nielegalnych dochodów dla Korei Północnej, która pozostaje pod międzynarodowymi sankcjami.
Aktorzy zagrożeń stosują spersonalizowane taktyki, aby zarażać cele
Do kluczowych taktyk stosowanych przez tych aktorów należą:
- Celem są przedsiębiorstwa związane z kryptowalutami.
- Przeprowadzanie dokładnych badań przedoperacyjnych na temat swoich ofiar przed nawiązaniem kontaktu.
- Tworzenie wysoce spersonalizowanych fałszywych scenariuszy w celu zwiększenia prawdopodobieństwa sukcesu.
Mogą one odnosić się do danych osobowych, takich jak zainteresowania, przynależność, wydarzenia, relacje lub powiązania zawodowe, które ofiara może uważać za znane tylko nielicznym. To podejście ma na celu zbudowanie relacji i ostatecznie dostarczenie złośliwego oprogramowania.
Jeśli uda im się nawiązać komunikację, początkowy aktor lub inny członek zespołu może poświęcić sporo czasu na interakcję z ofiarą, aby zwiększyć pozory legalności oraz zbudować poczucie znajomości i zaufania.
