COVERTCATCH มัลแวร์

พบว่าผู้ก่อภัยคุกคามจากเกาหลีเหนือใช้ประโยชน์จาก LinkedIn เพื่อกำหนดเป้าหมายนักพัฒนาซอฟต์แวร์ผ่านโครงการรับสมัครงานปลอม กลวิธีสำคัญคือการใช้การทดสอบการเข้ารหัสเป็นวิธีการติดเชื้อเบื้องต้น หลังจากพูดคุยกับเป้าหมายในแชท ผู้โจมตีจะส่งไฟล์ ZIP ที่ปลอมตัวเป็นความท้าทายในการเข้ารหัส Python ซึ่งแท้จริงแล้วมีมัลแวร์ COVERTCATCH เมื่อดำเนินการแล้ว มัลแวร์นี้จะเริ่มการโจมตีระบบ macOS ของเป้าหมายโดยดาวน์โหลดเพย์โหลดขั้นที่สองเพื่อสร้างการคงอยู่โดยใช้ Launch Agents และ Launch Daemons

เกาหลีเหนือยังคงเป็นผู้เล่นรายใหญ่ด้านอาชญากรรมทางไซเบอร์

อย่างไรก็ตาม นี่เป็นเพียงตัวอย่างหนึ่งในบรรดากิจกรรมต่างๆ เช่น Operation Dream Job และ Contagious Interview ที่ดำเนินการโดยกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่ใช้เหยื่อล่อที่เกี่ยวข้องกับงานเพื่อแพร่กระจายมัลแวร์

กลวิธีที่เกี่ยวข้องกับการรับสมัครยังถูกใช้กันอย่างแพร่หลายเพื่อติดตั้งมัลแวร์ตระกูลต่างๆ เช่น RustBucket และ KANDYKORN ในขณะนี้ยังไม่ชัดเจนว่า COVERTCATCH เกี่ยวข้องกับมัลแวร์เหล่านี้หรือ TodoSwift ที่เพิ่งค้นพบหรือไม่

นักวิจัยได้ระบุถึงแคมเปญทางวิศวกรรมสังคมที่ไฟล์ PDF ที่เสียหายถูกปลอมแปลงเป็นคำอธิบายงานของ 'รองประธานฝ่ายการเงินและการดำเนินงาน' ที่ศูนย์แลกเปลี่ยนสกุลเงินดิจิทัลรายใหญ่ ไฟล์ PDF นี้ปล่อยมัลแวร์ขั้นที่สองที่เรียกว่า RustBucket ซึ่งเป็นแบ็คดอร์ที่ใช้ Rust ที่รองรับการทำงานของไฟล์

อิมแพลนต์ RustBucket สามารถรวบรวมข้อมูลระบบพื้นฐาน สื่อสารด้วย URL ที่ระบุ และสร้างความคงอยู่ผ่าน Launch Agent ที่ปลอมตัวเป็น 'Safari Update' ทำให้สามารถติดต่อกับโดเมน Command-and-Control (C2) ที่เขียนโค้ดแบบฮาร์ดโค้ดได้

กลุ่มแฮกเกอร์เกาหลีเหนือยังคงพัฒนาต่อไป

การที่เกาหลีเหนือให้ความสำคัญกับองค์กร Web3 นั้นไม่ได้จำกัดอยู่แค่การโจมตีทางวิศวกรรมสังคมเท่านั้น แต่ยังรวมไปถึงการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ด้วย ซึ่งแสดงให้เห็นได้จากเหตุการณ์ล่าสุดที่เกี่ยวข้องกับ 3CX และ JumpCloud เมื่อผู้โจมตีสร้างการเข้าถึงผ่านมัลแวร์แล้ว พวกเขาจะย้ายไปที่ตัวจัดการรหัสผ่านเพื่อรวบรวมข้อมูลประจำตัว ดำเนินการลาดตระเวนภายในผ่านที่เก็บรหัสและเอกสารประกอบ และแทรกซึมเข้าไปในสภาพแวดล้อมโฮสติ้งบนคลาวด์เพื่อค้นหาคีย์กระเป๋าเงินร้อนและสูบเงินในที่สุด

การเปิดเผยนี้มาพร้อมกับคำเตือนที่ออกโดยสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) เกี่ยวกับผู้ก่อภัยคุกคามจากเกาหลีเหนือที่ตั้งเป้าโจมตีอุตสาหกรรมสกุลเงินดิจิทัลด้วยแคมเปญทางวิศวกรรมสังคมที่เชี่ยวชาญเฉพาะทางและตรวจจับได้ยาก

ความพยายามอย่างต่อเนื่องเหล่านี้มักเกี่ยวข้องกับการแอบอ้างเป็นบริษัทจัดหางานหรือบุคคลที่คุ้นเคย เสนอโอกาสการจ้างงานหรือการลงทุน กลวิธีดังกล่าวทำหน้าที่เป็นช่องทางสำหรับการขโมยคริปโตที่กล้าหาญซึ่งมีจุดมุ่งหมายเพื่อสร้างรายได้ผิดกฎหมายให้กับเกาหลีเหนือ ซึ่งยังคงอยู่ภายใต้การคว่ำบาตรระหว่างประเทศ

ผู้ก่อภัยคุกคามใช้กลวิธีเฉพาะบุคคลเพื่อแพร่เชื้อไปยังเป้าหมาย

กลยุทธ์หลักที่นักแสดงเหล่านี้ใช้ ได้แก่ :

  • กำหนดเป้าหมายธุรกิจที่เกี่ยวข้องกับสกุลเงินดิจิทัล
  • ดำเนินการวิจัยก่อนปฏิบัติการอย่างละเอียดเกี่ยวกับเหยื่อก่อนที่จะติดต่อ
  • การสร้างสถานการณ์ปลอมที่มีความเป็นส่วนตัวสูงเพื่อเพิ่มโอกาสในการประสบความสำเร็จ

อาจมีการอ้างถึงรายละเอียดส่วนตัว เช่น ความสนใจ ความเกี่ยวข้อง เหตุการณ์ ความสัมพันธ์ หรือการเชื่อมโยงทางอาชีพที่เหยื่ออาจคิดว่ารู้จักเพียงไม่กี่คน วิธีนี้ได้รับการออกแบบมาเพื่อสร้างความสัมพันธ์และส่งต่อมัลแวร์ในที่สุด

หากพวกเขาประสบความสำเร็จในการสร้างการสื่อสาร ผู้ดำเนินการเบื้องต้นหรือสมาชิกทีมคนอื่นอาจลงทุนเวลาอย่างมากในการโต้ตอบกับเหยื่อเพื่อเพิ่มภาพลักษณ์ของความชอบธรรมและส่งเสริมความรู้สึกคุ้นเคยและความไว้วางใจ

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...