COVERTCATCH Zlonamerna programska oprema
Ugotovljeno je bilo, da severnokorejski akterji grožnje izkoriščajo LinkedIn za ciljanje na razvijalce prek lažnih shem zaposlovanja. Ključna taktika vključuje uporabo testov kodiranja kot metode začetne okužbe. Ko napadalec vključi tarčo v klepet, pošlje datoteko ZIP, prikrito kot izziv kodiranja Python, ki dejansko vsebuje zlonamerno programsko opremo COVERTCATCH. Ko se izvede, ta zlonamerna programska oprema sproži napad na ciljni sistem macOS in prenese koristni tovor druge stopnje za vzpostavitev obstojnosti z uporabo Launch Agents in Launch Daemons.
Kazalo
Severna Koreja ostaja glavni igralec kibernetske kriminalitete
Vendar je to le en primer med različnimi skupinami dejavnosti, kot sta Operation Dream Job in Contagious Interview, ki jih izvajajo severnokorejske hekerske skupine, ki uporabljajo vabe, povezane z delom, za širjenje zlonamerne programske opreme.
Taktike na temo zaposlovanja so se pogosto uporabljale tudi za uvajanje družin zlonamerne programske opreme, kot sta RustBucket in KANDYKORN . Trenutno ni jasno, ali je COVERTCATCH povezan s temi ali na novo odkritim TodoSwiftom .
Raziskovalci so odkrili kampanjo socialnega inženiringa, v kateri je bil pokvarjeni PDF prikrit kot opis delovnega mesta za 'podpredsednika financ in operacij' na večji borzi kriptovalut. Ta PDF je odstranil drugostopenjsko zlonamerno programsko opremo, imenovano RustBucket, backdoor, ki temelji na Rustu in podpira izvajanje datotek.
Implantat RustBucket lahko zbira osnovne informacije o sistemu, komunicira z določenim URL-jem in vzpostavi obstojnost prek agenta za zagon, ki se maskira kot »posodobitev Safari«, kar mu omogoča, da vzpostavi stik s trdo kodirano domeno ukazov in nadzora (C2).
Severnokorejske hekerske skupine se še naprej razvijajo
Osredotočenost Severne Koreje na organizacije Web3 presega socialni inženiring in vključuje napade na dobavno verigo programske opreme, kot so pokazali nedavni incidenti, ki vključujejo 3CX in JumpCloud. Ko napadalci vzpostavijo dostop prek zlonamerne programske opreme, se premaknejo na upravitelje gesel, da zberejo poverilnice, izvedejo notranje izvidovanje prek repozitorijev kode in dokumentacije ter se infiltrirajo v okolja gostovanja v oblaku, da odkrijejo vroče ključe denarnice in na koncu izčrpajo sredstva.
To razkritje prihaja v povezavi z opozorilom, ki ga je izdal Zvezni preiskovalni urad ZDA (FBI) glede severnokorejskih akterjev groženj, ki ciljajo na industrijo kriptovalut z visoko specializiranimi in težko odkritimi kampanjami socialnega inženiringa.
Ta nenehna prizadevanja pogosto vključujejo lažno predstavljanje podjetij za zaposlovanje ali znanih posameznikov, ki ponujajo zaposlitvene ali naložbene priložnosti. Takšne taktike služijo kot prehod za drzne kriptovalute, namenjene ustvarjanju nezakonitega dohodka za Severno Korejo, ki je še vedno pod mednarodnimi sankcijami.
Akterji groženj uporabljajo prilagojene taktike za okužbo tarč
Ključne taktike, ki jih uporabljajo ti akterji, vključujejo:
- Ciljanje na podjetja, povezana s kriptovalutami.
- Izvajanje temeljite predoperativne raziskave žrtev, preden stopijo v stik.
- Ustvarjanje visoko personaliziranih lažnih scenarijev za povečanje verjetnosti uspeha.
Lahko se nanašajo na osebne podatke, kot so interesi, pripadnosti, dogodki, razmerja ali poklicne povezave, za katere žrtev morda misli, da jih pozna le nekaj ljudi. Ta pristop je zasnovan tako, da vzpostavi odnos in na koncu zagotovi zlonamerno programsko opremo.
Če jim uspe vzpostaviti komunikacijo, lahko prvi akter ali drug član ekipe porabi precej časa za interakcijo z žrtvijo, da poveča videz legitimnosti in spodbudi občutek domačnosti in zaupanja.
