Softuer keqdashës COVERTCATCH
Aktorët e kërcënimit të Koresë së Veriut janë gjetur duke shfrytëzuar LinkedIn për të synuar zhvilluesit përmes skemave të rreme të rekrutimit të vendeve të punës. Një taktikë kryesore përfshin përdorimin e testeve të kodimit si metodë fillestare e infeksionit. Pas angazhimit të objektivit në një bisedë, sulmuesi dërgon një skedar ZIP të maskuar si një sfidë kodimi Python, i cili në fakt përmban malware COVERTCATCH. Pasi të ekzekutohet, ky malware fillon një sulm në sistemin macOS të objektivit, duke shkarkuar një ngarkesë të fazës së dytë për të vendosur qëndrueshmërinë duke përdorur Launch Agents dhe Launch Daemons.
Tabela e Përmbajtjes
Koreja e Veriut mbetet lojtari kryesor i krimit kibernetik
Sidoqoftë, ky është vetëm një shembull midis grupeve të ndryshme të aktivitetit - të tilla si Operacioni Dream Job dhe Intervista ngjitëse - të kryera nga grupet e hakerëve të Koresë së Veriut duke përdorur joshje të lidhura me punën për të përhapur malware.
Taktikat me temën e rekrutimit janë përdorur zakonisht për të vendosur familjet e malware si RustBucket dhe KANDYKORN . Për momentin, është e paqartë nëse COVERTCATCH ka lidhje me këto apo TodoSwift të sapo zbuluar.
Studiuesit kanë identifikuar një fushatë inxhinierike sociale ku një PDF e korruptuar ishte maskuar si një përshkrim pune për një 'VP të Financave dhe Operacioneve' në një shkëmbim të madh kriptomonedhash. Ky PDF hodhi poshtë një malware të fazës së dytë të quajtur RustBucket, një derë e pasme e bazuar në Rust që mbështet ekzekutimin e skedarëve.
Implanti RustBucket mund të mbledhë informacionin bazë të sistemit, të komunikojë me një URL të specifikuar dhe të krijojë qëndrueshmëri nëpërmjet një agjenti lëshues që maskohet si një 'Përditësim Safari', duke i mundësuar atij të kontaktojë një domen të koduar të Command-and-Control (C2).
Grupet e Hakerëve të Koresë së Veriut vazhdojnë të zhvillohen
Fokusi i Koresë së Veriut në organizatat Web3 shtrihet përtej inxhinierisë sociale për të përfshirë sulmet e zinxhirit të furnizimit të softuerit, siç tregohet nga incidentet e fundit që përfshijnë 3CX dhe JumpCloud. Pasi sulmuesit vendosin akses përmes malware, ata kalojnë te menaxherët e fjalëkalimeve për të mbledhur kredencialet, për të kryer zbulimin e brendshëm përmes depove të kodit dhe dokumentacionin dhe depërtojnë në mjediset e pritjes së cloud për të zbuluar çelësat e portofolit të nxehtë dhe përfundimisht për të kulluar fondet.
Ky zbulim vjen në lidhje me një paralajmërim të lëshuar nga Byroja Federale e Hetimit (FBI) në lidhje me aktorët e kërcënimit të Koresë së Veriut që synojnë industrinë e kriptomonedhave me fushata inxhinierike sociale shumë të specializuara dhe të vështira për t'u zbuluar.
Këto përpjekje të vazhdueshme shpesh përfshijnë imitimin e firmave të rekrutimit ose individëve të njohur, duke ofruar mundësi punësimi ose investimi. Taktika të tilla shërbejnë si një portë për grabitjet e guximshme të kriptove që synojnë të gjenerojnë të ardhura të paligjshme për Korenë e Veriut, e cila mbetet nën sanksionet ndërkombëtare.
Aktorët e kërcënimit përdorin taktika të personalizuara për të infektuar objektivat
Taktikat kryesore të përdorura nga këta aktorë përfshijnë:
- Synimi i bizneseve të lidhura me kriptovalutat.
- Kryerja e një hulumtimi të plotë para-operativ mbi viktimat e tyre përpara se të kontaktojnë.
- Krijimi i skenarëve të rremë shumë të personalizuar për të rritur gjasat e suksesit.
Ata mund t'i referohen detajeve personale, të tilla si interesat, përkatësitë, ngjarjet, marrëdhëniet ose lidhjet profesionale që viktima mund të mendojë se janë të njohura vetëm për disa. Kjo qasje është krijuar për të krijuar raporte dhe përfundimisht për të ofruar malware.
Nëse ata arrijnë të krijojnë komunikim, aktori fillestar ose një anëtar tjetër i ekipit mund të investojë kohë të konsiderueshme duke ndërvepruar me viktimën për të përmirësuar pamjen e legjitimitetit dhe për të nxitur një ndjenjë familjariteti dhe besimi.
