COVERTCATCH Шкідливе програмне забезпечення
Було виявлено, що північнокорейські загрозливі особи використовують LinkedIn для націлювання на розробників за допомогою підроблених схем найму на роботу. Ключова тактика передбачає використання тестів кодування як початкового методу зараження. Після залучення цілі в чат зловмисник надсилає ZIP-файл, замаскований під кодування Python, який насправді містить шкідливе програмне забезпечення COVERTCATCH. Після виконання це зловмисне програмне забезпечення ініціює атаку на цільову систему macOS, завантажуючи корисне навантаження другого етапу для встановлення стійкості за допомогою агентів запуску та демонов запуску.
Зміст
Північна Корея залишається головним гравцем у кіберзлочинності
Однак це лише один із прикладів різноманітних дій, таких як Operation Job та Contagious Interview, які здійснюють хакерські групи Північної Кореї, використовуючи пов’язані з роботою спокуси для поширення зловмисного програмного забезпечення.
Тактика вербування також часто використовується для розгортання сімейства шкідливих програм, таких як RustBucket і KANDYKORN . Наразі незрозуміло, чи COVERTCATCH пов’язаний із ними чи з нововиявленим TodoSwift .
Дослідники виявили кампанію соціальної інженерії, у якій пошкоджений PDF-файл був замаскований під опис посади «віце-президента з фінансів та операцій» на великій біржі криптовалют. Цей PDF-файл викинув зловмисне програмне забезпечення другої стадії під назвою RustBucket, бекдор на основі Rust, який підтримує виконання файлів.
Імплантат RustBucket може збирати основну інформацію про систему, обмінюватися даними з указаною URL-адресою та встановлювати постійність через агент запуску, який маскується під «Оновлення Safari», дозволяючи йому зв’язуватися з жорстко закодованим доменом командування та керування (C2).
Північнокорейські хакерські групи продовжують розвиватися
Зосередження Північної Кореї на організаціях Web3 виходить за межі соціальної інженерії та включає атаки на ланцюги поставок програмного забезпечення, як продемонстрували нещодавні інциденти за участю 3CX і JumpCloud. Коли зловмисники встановлюють доступ через зловмисне програмне забезпечення, вони переходять до менеджерів паролів, щоб збирати облікові дані, проводити внутрішню розвідку через сховища коду та документацію та проникати в хмарне середовище хостингу, щоб виявити гарячі ключі гаманця та, зрештою, вичерпати кошти.
Це відкриття поєднується з попередженням Федерального бюро розслідувань (ФБР) США щодо північнокорейських загроз, які націлені на індустрію криптовалют за допомогою вузькоспеціалізованих і важковиявлених кампаній соціальної інженерії.
Ці постійні зусилля часто передбачають видавання себе за рекрутингові фірми або знайомих осіб, які пропонують роботу чи можливості для інвестицій. Така тактика служить шлюзом для зухвалих криптографічних крадіжок, спрямованих на отримання незаконного доходу для Північної Кореї, яка залишається під міжнародними санкціями.
Зловмисники використовують індивідуальну тактику для зараження цілей
Ключові тактики, які використовують ці актори, включають:
- Орієнтація на бізнес, пов’язаний з криптовалютою.
- Проведення ретельного передопераційного дослідження своїх жертв перед встановленням контакту.
- Створення дуже персоналізованих фейкових сценаріїв для підвищення ймовірності успіху.
Вони можуть посилатися на особисті дані, такі як інтереси, зв’язки, події, стосунки чи професійні зв’язки, про які жертва може думати, що відомі лише небагатьом. Цей підхід призначений для встановлення стосунків і, зрештою, доставки зловмисного програмного забезпечення.
Якщо їм вдасться налагодити комунікацію, початковий актор або інший член команди може витратити значний час на взаємодію з жертвою, щоб підвищити видимість легітимності та сприяти почуттю знайомства та довіри.
