COVERTCATCH Skadlig programvara
Nordkoreanska hotaktörer har upptäckts utnyttja LinkedIn för att rikta in sig på utvecklare genom falska jobbrekryteringsprogram. En viktig taktik innebär att använda kodningstester som den första infektionsmetoden. Efter att ha engagerat målet i en chatt, skickar angriparen en ZIP-fil förklädd som en Python-kodningsutmaning, som faktiskt innehåller COVERTCATCH skadlig kod. När den har körts initierar den här skadliga programvaran en attack på målets macOS-system och laddar ner en nyttolast i andra steget för att etablera persistens med hjälp av Launch Agents och Launch Daemons.
Innehållsförteckning
Nordkorea förblir den största aktören för cyberbrott
Detta är dock bara ett exempel bland olika aktivitetskluster – som Operation Dream Job och Contagious Interview – som utförs av nordkoreanska hackergrupper som använder jobbrelaterade lockbeten för att sprida skadlig programvara.
Taktik med rekryteringstema har också använts ofta för att distribuera skadliga programfamiljer som RustBucket och KANDYKORN . För närvarande är det oklart om COVERTCATCH är relaterat till dessa eller den nyupptäckta TodoSwift .
Forskare har identifierat en social ingenjörskampanj där en korrupt PDF-fil var förklädd som en arbetsbeskrivning för en "VP of Finance and Operations" på en stor kryptovalutabörs. Den här PDF-filen släppte en skadlig kod i andra steget som heter RustBucket, en Rust-baserad bakdörr som stöder filkörning.
RustBucket-implantatet kan samla in grundläggande systeminformation, kommunicera med en specificerad URL och etablera persistens genom en Launch Agent som maskerar sig som en "Safari Update", vilket gör att den kan kontakta en hårdkodad Command-and-Control-domän (C2).
Nordkoreanska hackergrupper fortsätter att utvecklas
Nordkoreas fokus på Web3-organisationer sträcker sig bortom social ingenjörskonst och inkluderar attacker från mjukvaruförsörjningskedjan, vilket framgår av nyligen inträffade incidenter med 3CX och JumpCloud. När angripare etablerar åtkomst genom skadlig programvara, går de till lösenordshanterare för att samla in autentiseringsuppgifter, utföra intern spaning genom kodlager och dokumentation och infiltrera molnvärdmiljöer för att avslöja heta plånboksnycklar och slutligen tömma pengar.
Detta avslöjande kommer i samband med en varning utfärdad av den amerikanska federala utredningsbyrån (FBI) om nordkoreanska hotaktörer som riktar in sig på kryptovalutaindustrin med högt specialiserade och svårupptäckta sociala ingenjörskampanjer.
Dessa pågående ansträngningar involverar ofta att utge sig för att vara rekryterande företag eller bekanta individer, erbjuda anställning eller investeringsmöjligheter. Sådan taktik fungerar som en inkörsport för djärva kryptorån som är avsedda att generera olaglig inkomst för Nordkorea, som fortfarande är under internationella sanktioner.
Hotskådespelare använder personlig taktik för att infektera mål
Nyckeltaktik som används av dessa aktörer inkluderar:
- Inriktning på kryptovalutarelaterade företag.
- Genomföra grundlig preoperativ forskning på sina offer innan de tar kontakt.
- Skapa mycket personliga falska scenarier för att öka sannolikheten för framgång.
De kan referera till personliga uppgifter, såsom intressen, anknytningar, evenemang, relationer eller professionella kopplingar som offret kanske tror är kända för endast ett fåtal. Detta tillvägagångssätt är utformat för att bygga relationer och i slutändan leverera skadlig programvara.
Om de lyckas etablera kommunikation, kan den initiala aktören eller en annan gruppmedlem investera betydande tid i att interagera med offret för att förstärka intrycket av legitimitet och främja en känsla av förtrogenhet och förtroende.
