Вредоносное ПО COVERTCATCH
Северокорейские злоумышленники были обнаружены использующими LinkedIn для атаки на разработчиков с помощью фиктивных схем набора на работу. Ключевая тактика заключается в использовании тестов по кодированию в качестве первоначального метода заражения. После взаимодействия с целью в чате злоумышленник отправляет ZIP-файл, замаскированный под задачу по кодированию Python, который на самом деле содержит вредоносное ПО COVERTCATCH. После запуска это вредоносное ПО инициирует атаку на систему macOS цели, загружая полезную нагрузку второго этапа для установления устойчивости с помощью Launch Agents и Launch Daemons.
Оглавление
Северная Корея остается крупным игроком в киберпреступности
Однако это лишь один пример из множества видов деятельности, таких как «Операция «Работа мечты»» и «Заразное интервью», которые осуществляют северокорейские хакерские группы, используя приманки, связанные с работой, для распространения вредоносного ПО.
Тактики вербовки также широко использовались для развертывания семейств вредоносных программ, таких как RustBucket и KANDYKORN . На данный момент неясно, связан ли COVERTCATCH с ними или с недавно обнаруженным TodoSwift .
Исследователи выявили кампанию социальной инженерии, в которой поврежденный PDF-файл был замаскирован под описание вакансии «вице-президента по финансам и операциям» на крупной криптовалютной бирже. Этот PDF-файл сбрасывал вредоносную программу второго этапа под названием RustBucket, бэкдор на основе Rust, поддерживающий выполнение файлов.
Имплант RustBucket может собирать основную системную информацию, связываться с указанным URL-адресом и устанавливать постоянство с помощью Launch Agent, который маскируется под «обновление Safari», что позволяет ему связываться с жестко запрограммированным доменом Command-and-Control (C2).
Северокорейские хакерские группировки продолжают развиваться
Внимание Северной Кореи к организациям Web3 выходит за рамки социальной инженерии и включает атаки на цепочки поставок программного обеспечения, как показали недавние инциденты с участием 3CX и JumpCloud. Как только злоумышленники получают доступ с помощью вредоносного ПО, они переходят к менеджерам паролей для сбора учетных данных, проводят внутреннюю разведку через репозитории кода и документацию и проникают в среды облачного хостинга, чтобы раскрыть ключи горячего кошелька и в конечном итоге слить средства.
Это открытие совпало с предупреждением Федерального бюро расследований США (ФБР) о северокорейских злоумышленниках, нацеленных на криптовалютную индустрию с помощью узкоспециализированных и труднообнаружимых кампаний социальной инженерии.
Эти продолжающиеся усилия часто включают выдачу себя за рекрутинговые компании или знакомых лиц, предлагающих возможности трудоустройства или инвестиций. Такая тактика служит воротами для дерзких криптокраж, направленных на получение незаконного дохода для Северной Кореи, которая остается под международными санкциями.
Злоумышленники используют персонализированную тактику для заражения целей
Основные тактики, используемые этими субъектами, включают:
- Ориентация на бизнес, связанный с криптовалютой.
- Проведение тщательного предоперационного исследования своих жертв перед вступлением в контакт.
- Создание высокоперсонализированных фальшивых сценариев для повышения вероятности успеха.
Они могут ссылаться на личные данные, такие как интересы, связи, события, отношения или профессиональные связи, которые, по мнению жертвы, известны лишь немногим. Такой подход предназначен для установления контакта и в конечном итоге доставки вредоносного ПО.
Если им удастся установить коммуникацию, первый участник или другой член команды могут потратить значительное время на взаимодействие с жертвой, чтобы усилить видимость легитимности и создать ощущение знакомства и доверия.
