COVERTCATCH Malvér
Zistilo sa, že severokórejskí aktéri hrozieb zneužívajú LinkedIn na zacielenie na vývojárov prostredníctvom falošných schém náboru pracovných miest. Kľúčová taktika zahŕňa použitie testov kódovania ako počiatočnej metódy infekcie. Po zapojení cieľa do chatu útočník odošle súbor ZIP maskovaný ako výzva na kódovanie Pythonu, ktorý v skutočnosti obsahuje malvér COVERTCATCH. Po spustení tento malvér iniciuje útok na cieľový systém macOS, pričom stiahne užitočné zaťaženie druhej fázy, aby sa zaistila vytrvalosť pomocou Launch Agents a Launch Daemons.
Obsah
Severná Kórea zostáva hlavným hráčom počítačovej kriminality
Toto je však len jeden príklad medzi rôznymi skupinami aktivít, ako je operácia snov a nákazlivý rozhovor, ktoré vykonávajú severokórejské hackerské skupiny pomocou návnad súvisiacich s prácou na šírenie škodlivého softvéru.
Taktiky s tematikou náboru sa tiež bežne používajú na nasadenie rodín škodlivého softvéru, ako sú RustBucket a KANDYKORN . V súčasnosti nie je jasné, či COVERTCATCH súvisí s týmito alebo s novoobjaveným TodoSwift .
Výskumníci identifikovali kampaň sociálneho inžinierstva, kde bolo skorumpované PDF zamaskované ako popis práce pre „VP pre financie a operácie“ na veľkej kryptomenovej burze. Toto PDF vypustilo druhú fázu malvéru s názvom RustBucket, zadné vrátka založené na hrdze, ktoré podporuje spúšťanie súborov.
Implantát RustBucket dokáže zhromažďovať základné informácie o systéme, komunikovať so špecifikovanou URL a zabezpečiť stálosť prostredníctvom Launch Agenta, ktorý sa maskuje ako „Safari Update“, čo mu umožňuje kontaktovať pevne zakódovanú doménu Command-and-Control (C2).
Severokórejské hackerské skupiny sa naďalej vyvíjajú
Zameranie Severnej Kórey na organizácie Web3 presahuje sociálne inžinierstvo a zahŕňa útoky na softvérový dodávateľský reťazec, čo dokazujú nedávne incidenty týkajúce sa 3CX a JumpCloud. Keď útočníci získajú prístup cez malvér, presunú sa k správcom hesiel, aby zhromaždili poverenia, vykonali interný prieskum prostredníctvom úložísk kódov a dokumentácie a infiltrovali sa do prostredia cloudového hostingu, aby odhalili kľúče hot wallet a nakoniec odčerpali finančné prostriedky.
Toto odhalenie prichádza v spojení s varovaním vydaným americkým Federálnym úradom pre vyšetrovanie (FBI) o severokórejských aktéroch hrozieb, ktorí sa zameriavajú na kryptomenový priemysel pomocou vysoko špecializovaných a ťažko odhaliteľných kampaní sociálneho inžinierstva.
Toto prebiehajúce úsilie často zahŕňa vydávanie sa za náborové firmy alebo známych jednotlivcov, ponúkanie pracovných alebo investičných príležitostí. Takáto taktika slúži ako brána pre odvážne kryptokrádeže, ktorých cieľom je generovať nezákonný príjem pre Severnú Kóreu, na ktorú sa naďalej vzťahujú medzinárodné sankcie.
Aktéri hrozieb používajú prispôsobené taktiky na infikovanie cieľov
Medzi kľúčové taktiky, ktoré títo aktéri používajú, patria:
- Zacielenie na podniky súvisiace s kryptomenami.
- Vykonávanie dôkladného predoperačného výskumu ich obetí pred nadviazaním kontaktu.
- Vytváranie vysoko personalizovaných falošných scenárov na zvýšenie pravdepodobnosti úspechu.
Môžu odkazovať na osobné údaje, ako sú záujmy, vzťahy, udalosti, vzťahy alebo profesionálne kontakty, o ktorých si obeť môže myslieť, že sú známe len niekoľkým. Tento prístup je navrhnutý tak, aby vytváral vzťah a v konečnom dôsledku poskytoval malvér.
Ak sa im podarí nadviazať komunikáciu, počiatočný aktér alebo iný člen tímu môže investovať značný čas do interakcie s obeťou, aby posilnil zdanie legitímnosti a podporil pocit známosti a dôvery.
