COVERTCATCH Malware
S-au găsit actori nord-coreeni care exploatează LinkedIn pentru a viza dezvoltatorii prin scheme false de recrutare a locurilor de muncă. O tactică cheie implică utilizarea testelor de codificare ca metodă inițială de infectare. După ce a implicat ținta într-un chat, atacatorul trimite un fișier ZIP deghizat ca o provocare de codare Python, care conține de fapt malware-ul COVERTCATCH. Odată executat, acest program malware inițiază un atac asupra sistemului macOS al țintei, descarcând o încărcare utilă din a doua etapă pentru a stabili persistența folosind agenții de lansare și daemonii de lansare.
Cuprins
Coreea de Nord rămâne principalul jucător al criminalității cibernetice
Cu toate acestea, acesta este doar un exemplu dintre diferitele grupuri de activitate, cum ar fi Operațiunea Dream Job și Contagious Interview, desfășurate de grupuri de hacking nord-coreene care folosesc momeli legate de muncă pentru a răspândi malware.
Tacticile cu tematică de recrutare au fost, de asemenea, utilizate în mod obișnuit pentru a implementa familii de malware precum RustBucket și KANDYKORN . În acest moment, nu este clar dacă COVERTCATCH are legătură cu acestea sau cu TodoSwift recent descoperit.
Cercetătorii au identificat o campanie de inginerie socială în care un PDF corupt a fost deghizat ca o fișă a postului pentru un „vicepreședinte al finanțelor și operațiunilor” la o bursă majoră de criptomonede. Acest PDF a lansat un program malware din a doua etapă numit RustBucket, o ușă din spate bazată pe Rust care acceptă execuția fișierelor.
Implantul RustBucket poate colecta informații de bază despre sistem, poate comunica cu o adresă URL specificată și poate stabili persistența printr-un agent de lansare care se mascadă ca o „Actualizare Safari”, permițându-i să contacteze un domeniu de comandă și control (C2) codificat.
Grupurile de hackeri din Coreea de Nord continuă să evolueze
Concentrarea Coreei de Nord asupra organizațiilor Web3 se extinde dincolo de ingineria socială pentru a include atacurile lanțului de aprovizionare cu software, așa cum au demonstrat incidentele recente care au implicat 3CX și JumpCloud. Odată ce atacatorii stabilesc accesul prin intermediul programelor malware, aceștia trec la managerii de parole pentru a colecta acreditări, pentru a efectua recunoaștere internă prin depozite de coduri și documentație și pentru a se infiltre în mediile de găzduire în cloud pentru a descoperi cheile pentru portofel și, în cele din urmă, a scurge fonduri.
Această revelație vine împreună cu un avertisment emis de Biroul Federal de Investigații al SUA (FBI) despre actorii nord-coreeni care vizează industria criptomonedei cu campanii de inginerie socială foarte specializate și greu de detectat.
Aceste eforturi continue implică adesea uzurparea identității firmelor de recrutare sau a unor persoane familiare, oferirea de locuri de muncă sau oportunități de investiții. Asemenea tactici servesc ca o poartă de acces pentru furturi de criptomonede îndrăznețe menite să genereze venituri ilicite pentru Coreea de Nord, care rămâne sub sancțiuni internaționale.
Actorii de amenințări folosesc tactici personalizate pentru a infecta ținte
Tacticile cheie utilizate de acești actori includ:
- Vizarea afacerilor legate de criptomonede.
- Efectuarea de cercetări pre-operaționale amănunțite asupra victimelor lor înainte de a lua contact.
- Crearea de scenarii false extrem de personalizate pentru a crește probabilitatea de succes.
Ei pot face referire la detalii personale, cum ar fi interese, afilieri, evenimente, relații sau legături profesionale despre care victima ar putea crede că sunt cunoscute doar de câțiva. Această abordare este concepută pentru a construi relații și, în cele din urmă, a furniza malware.
Dacă reușesc să stabilească comunicarea, actorul inițial sau un alt membru al echipei poate investi mult timp interacționând cu victima pentru a spori aspectul de legitimitate și pentru a stimula un sentiment de familiaritate și încredere.
