ЦОВЕРТЦАТЦХ Малваре
Утврђено је да севернокорејски актери претњи искоришћавају ЛинкедИн да циљају програмере кроз лажне шеме запошљавања. Кључна тактика укључује коришћење тестова кодирања као иницијалне методе инфекције. Након што мету укључи у ћаскање, нападач шаље ЗИП датотеку маскирану као изазов за Питхон кодирање, који заправо садржи ЦОВЕРТЦАТЦХ малвер. Када се изврши, овај малвер покреће напад на циљни мацОС систем, преузимајући корисни терет у другој фази да би успоставио постојаност помоћу Лаунцх Агента и Лаунцх Даемона.
Преглед садржаја
Северна Кореја остаје главни играч у сајбер криминалу
Међутим, ово је само један пример међу различитим групама активности – као што су Операција Дреам Јоб и Цонтагиоус Интервиев – које спроводе севернокорејске хакерске групе користећи мамце везане за посао за ширење злонамерног софтвера.
Тактике регрутовања се такође често користе за примену породица малвера као што су РустБуцкет и КАНДИКОРН . У овом тренутку није јасно да ли је ЦОВЕРТЦАТЦХ повезан са овим или новооткривеним ТодоСвифтом .
Истраживачи су идентификовали кампању социјалног инжењеринга у којој је корумпирани ПДФ био прерушен као опис посла за „потпредседника финансија и операција“ на великој берзи криптовалута. Овај ПДФ је избацио злонамерни софтвер друге фазе под називом РустБуцкет, бацкдоор заснован на Русту који подржава извршавање датотека.
РустБуцкет имплант може прикупити основне системске информације, комуницирати са одређеним УРЛ-ом и успоставити постојаност преко агента за покретање који се маскира као 'Сафари ажурирање', омогућавајући му да контактира чврсто кодирани домен за управљање и контролу (Ц2).
Севернокорејске хакерске групе настављају да се развијају
Фокус Северне Кореје на Веб3 организације протеже се даље од друштвеног инжењеринга и укључује нападе на ланац набавке софтвера, што показују недавни инциденти који укључују 3ЦКС и ЈумпЦлоуд. Једном када нападачи успоставе приступ преко малвера, прелазе на менаџере лозинки да би прикупили акредитиве, спровели интерно извиђање кроз спремишта кодова и документацију, и инфилтрирали се у окружења за хостовање у облаку да би открили вруће кључеве новчаника и на крају одвели средства.
Ово откриће долази у спрези са упозорењем америчког Федералног истражног бироа (ФБИ) о севернокорејским претњама које циљају на индустрију криптовалута са високо специјализованим кампањама друштвеног инжењеринга које је тешко открити.
Ови стални напори често укључују лажно представљање фирми за запошљавање или познатих појединаца, нуђење могућности запошљавања или улагања. Таква тактика служи као капија за смеле крипто пљачке намењене генерисању незаконитог прихода за Северну Кореју, која је и даље под међународним санкцијама.
Актери претњи користе персонализоване тактике да заразе мете
Кључне тактике које користе ови актери укључују:
- Циљање предузећа у вези са криптовалутама.
- Спровођење темељног преоперативног истраживања њихових жртава пре успостављања контакта.
- Креирање високо персонализованих лажних сценарија за повећање вероватноће успеха.
Могу се позивати на личне детаље, као што су интересовања, везе, догађаји, односи или професионалне везе за које жртва може мислити да су познати само неколицини. Овај приступ је дизајниран да изгради однос и на крају испоручи злонамерни софтвер.
Ако успеју да успоставе комуникацију, почетни актер или други члан тима могу уложити значајно време у интеракцију са жртвом како би побољшали изглед легитимитета и подстакли осећај блискости и поверења.
