Phần mềm độc hại COVERTCATCH

Các tác nhân đe dọa từ Triều Tiên đã bị phát hiện khai thác LinkedIn để nhắm mục tiêu vào các nhà phát triển thông qua các chương trình tuyển dụng việc làm giả mạo. Một chiến thuật chính liên quan đến việc sử dụng các bài kiểm tra mã hóa làm phương pháp lây nhiễm ban đầu. Sau khi trò chuyện với mục tiêu, kẻ tấn công sẽ gửi một tệp ZIP được ngụy trang thành một thử thách mã hóa Python, thực chất chứa phần mềm độc hại COVERTCATCH. Sau khi được thực thi, phần mềm độc hại này sẽ khởi chạy một cuộc tấn công vào hệ thống macOS của mục tiêu, tải xuống một tải trọng giai đoạn thứ hai để thiết lập tính bền bỉ bằng cách sử dụng Launch Agents và Launch Daemons.

Bắc Triều Tiên vẫn là quốc gia tội phạm mạng lớn

Tuy nhiên, đây chỉ là một ví dụ trong số nhiều nhóm hoạt động khác nhau—chẳng hạn như Chiến dịch Dream Job và Cuộc phỏng vấn lây lan—do các nhóm tin tặc Triều Tiên thực hiện bằng cách sử dụng các chiêu trò liên quan đến công việc để phát tán phần mềm độc hại.

Các chiến thuật theo chủ đề tuyển dụng cũng thường được sử dụng để triển khai các họ phần mềm độc hại như RustBucket và KANDYKORN . Hiện tại, vẫn chưa rõ liệu COVERTCATCH có liên quan đến những nhóm này hay TodoSwift mới được phát hiện hay không.

Các nhà nghiên cứu đã xác định được một chiến dịch kỹ thuật xã hội trong đó một tệp PDF bị hỏng được ngụy trang thành mô tả công việc của 'Phó chủ tịch Tài chính và Vận hành' tại một sàn giao dịch tiền điện tử lớn. Tệp PDF này đã thả một phần mềm độc hại giai đoạn hai có tên là RustBucket, một cửa hậu dựa trên Rust hỗ trợ thực thi tệp.

Phần mềm cấy ghép RustBucket có thể thu thập thông tin hệ thống cơ bản, giao tiếp với một URL được chỉ định và thiết lập tính bền bỉ thông qua một Launch Agent ngụy trang thành 'Bản cập nhật Safari', cho phép nó liên hệ với miền Command-and-Control (C2) được mã hóa cứng.

Các nhóm tin tặc Bắc Triều Tiên tiếp tục phát triển

Sự tập trung của Bắc Triều Tiên vào các tổ chức Web3 không chỉ giới hạn ở kỹ thuật xã hội mà còn bao gồm các cuộc tấn công chuỗi cung ứng phần mềm, như đã được chứng minh bằng các sự cố gần đây liên quan đến 3CX và JumpCloud. Khi kẻ tấn công thiết lập quyền truy cập thông qua phần mềm độc hại, chúng sẽ chuyển sang trình quản lý mật khẩu để thu thập thông tin xác thực, tiến hành trinh sát nội bộ thông qua kho lưu trữ mã và tài liệu, và xâm nhập vào môi trường lưu trữ đám mây để phát hiện khóa ví nóng và cuối cùng là rút tiền.

Tiết lộ này đi kèm với cảnh báo do Cục Điều tra Liên bang Hoa Kỳ (FBI) đưa ra về các tác nhân đe dọa từ Triều Tiên nhắm vào ngành công nghiệp tiền điện tử bằng các chiến dịch tấn công kỹ thuật xã hội cực kỳ chuyên biệt và khó phát hiện.

Những nỗ lực đang diễn ra này thường liên quan đến việc mạo danh các công ty tuyển dụng hoặc cá nhân quen biết, cung cấp cơ hội việc làm hoặc đầu tư. Những chiến thuật như vậy đóng vai trò là cánh cổng cho các vụ trộm tiền điện tử táo bạo nhằm tạo ra thu nhập bất hợp pháp cho Triều Tiên, quốc gia vẫn đang chịu lệnh trừng phạt quốc tế.

Các tác nhân đe dọa sử dụng các chiến thuật được cá nhân hóa để lây nhiễm mục tiêu

Các chiến thuật chính được những kẻ này sử dụng bao gồm:

• Hướng đến các doanh nghiệp liên quan đến tiền điện tử.
• Tiến hành nghiên cứu kỹ lưỡng về nạn nhân trước khi tiếp xúc.
• Tạo ra các kịch bản giả có tính cá nhân hóa cao để tăng khả năng thành công.

Họ có thể tham chiếu đến các thông tin cá nhân, chẳng hạn như sở thích, mối quan hệ, sự kiện, mối quan hệ hoặc kết nối chuyên môn mà nạn nhân có thể nghĩ rằng chỉ một số ít người biết. Cách tiếp cận này được thiết kế để xây dựng mối quan hệ và cuối cùng là phát tán phần mềm độc hại.

Nếu thành công trong việc thiết lập giao tiếp, tác nhân ban đầu hoặc một thành viên khác trong nhóm có thể dành nhiều thời gian tương tác với nạn nhân để tăng cường vẻ hợp pháp và tạo cảm giác quen thuộc và tin tưởng.