COVERTCATCH Malware

Natagpuan ang mga aktor ng pagbabanta ng North Korea na nagsasamantala sa LinkedIn upang i-target ang mga developer sa pamamagitan ng mga pekeng scheme ng recruitment ng trabaho. Ang isang pangunahing taktika ay nagsasangkot ng paggamit ng mga coding test bilang paunang paraan ng impeksyon. Pagkatapos isama ang target sa isang chat, magpapadala ang attacker ng ZIP file na itinago bilang isang Python coding challenge, na talagang naglalaman ng COVERTCATCH malware. Kapag naisakatuparan na, ang malware na ito ay magsisimula ng pag-atake sa macOS system ng target, na nagda-download ng pangalawang yugto ng kargamento upang magtatag ng pagpupursige gamit ang Mga Ahente ng Paglunsad at Mga Daemon ng Paglunsad.

Nananatiling Major Cybercrime Player ang Hilagang Korea

Gayunpaman, isa lamang itong halimbawa sa iba't ibang kumpol ng aktibidad—gaya ng Operation Dream Job at Contagious Interview—na isinagawa ng mga pangkat ng pag-hack ng North Korea gamit ang mga pang-akit na nauugnay sa trabaho upang maikalat ang malware.

Ang mga taktika na may temang recruitment ay karaniwang ginagamit din para mag-deploy ng mga pamilya ng malware tulad ng RustBucket at KANDYKORN . Sa ngayon, hindi malinaw kung ang COVERTCATCH ay nauugnay sa mga ito o ang bagong natuklasang TodoSwift .

Natukoy ng mga mananaliksik ang isang social engineering campaign kung saan ang isang tiwaling PDF ay itinago bilang paglalarawan ng trabaho para sa isang 'VP of Finance and Operations' sa isang pangunahing cryptocurrency exchange. Ang PDF na ito ay nag-drop ng pangalawang yugto ng malware na tinatawag na RustBucket, isang Rust-based na backdoor na sumusuporta sa file execution.

Ang RustBucket implant ay maaaring mangolekta ng pangunahing impormasyon ng system, makipag-ugnayan sa isang tinukoy na URL, at magtatag ng pagtitiyaga sa pamamagitan ng isang Launch Agent na nagpapanggap bilang isang 'Safari Update,' na nagbibigay-daan dito na makipag-ugnayan sa isang hard-coded na Command-and-Control (C2) na domain.

Ang North Korean Hacker Groups ay Patuloy na Nag-evolve

Ang pagtuon ng North Korea sa mga organisasyon ng Web3 ay lumampas sa social engineering upang isama ang mga pag-atake sa supply chain ng software, gaya ng ipinakita ng mga kamakailang insidente na kinasasangkutan ng 3CX at JumpCloud. Sa sandaling magkaroon ng access ang mga attacker sa pamamagitan ng malware, lilipat sila sa mga tagapamahala ng password upang mangolekta ng mga kredensyal, magsagawa ng internal reconnaissance sa pamamagitan ng mga repositoryo ng code at dokumentasyon, at lumusot sa cloud hosting environment upang matuklasan ang mga hot wallet key at sa huli ay maubos ang mga pondo.

Ang paghahayag na ito ay kasabay ng isang babala na inilabas ng US Federal Bureau of Investigation (FBI) tungkol sa mga aktor ng pagbabanta ng North Korea na nagta-target sa industriya ng cryptocurrency na may napaka-espesyalista at mahirap matukoy na mga social engineering campaign.

Ang mga patuloy na pagsisikap na ito ay kadalasang nagsasangkot ng pagpapanggap bilang mga kumpanyang nagre-recruit o pamilyar na mga indibidwal, na nag-aalok ng mga pagkakataon sa trabaho o pamumuhunan. Ang ganitong mga taktika ay nagsisilbing gateway para sa mapangahas na crypto heists na nilayon upang makabuo ng bawal na kita para sa North Korea, na nananatili sa ilalim ng mga internasyonal na parusa.

Gumagamit ang Mga Aktor ng Banta ng Mga Personalized na Taktika para Makahawa sa Mga Target

Kabilang sa mga pangunahing taktika na ginagamit ng mga aktor na ito ang:

• Pag-target sa mga negosyong nauugnay sa cryptocurrency.
• Pagsasagawa ng masusing pre-operational research sa kanilang mga biktima bago makipag-ugnayan.
• Gumagawa ng lubos na isinapersonal na mga pekeng senaryo upang mapataas ang posibilidad na magtagumpay.

Maaari silang sumangguni sa mga personal na detalye, tulad ng mga interes, kaugnayan, kaganapan, relasyon, o propesyonal na koneksyon na maaaring isipin ng biktima na iilan lamang ang nakakaalam. Ang diskarte na ito ay idinisenyo upang bumuo ng kaugnayan at sa huli ay maghatid ng malware.

Kung magtagumpay sila sa pagtatatag ng komunikasyon, ang unang aktor o isa pang miyembro ng koponan ay maaaring mamuhunan ng malaking oras sa pakikipag-ugnayan sa biktima upang pagandahin ang hitsura ng pagiging lehitimo at pagyamanin ang pakiramdam ng pagiging pamilyar at tiwala.