COVERTCATCH 惡意軟體
北韓威脅行為者被發現利用 LinkedIn 透過虛假招聘計劃來針對開發人員。一個關鍵策略涉及使用編碼測試作為初始感染方法。在與目標進行聊天後,攻擊者會發送一個偽裝成 Python 編碼挑戰的 ZIP 文件,其中實際上包含 COVERTCATCH 惡意軟體。一旦執行,該惡意軟體就會對目標的 macOS 系統發動攻擊,下載第二階段有效負載,以使用啟動代理程式和啟動守護程式建立持久性。
目錄
北韓仍然是網路犯罪的主要參與者
然而,這只是北韓駭客組織利用與工作相關的誘惑來傳播惡意軟體的一系列活動(例如「夢想工作行動」和「傳染性採訪」)中的一個例子。
以招募為主題的策略也常用於部署RustBucket和KANDYKORN等惡意軟體系列。目前還不清楚 COVERTCATCH 是否與這些或新發現的TodoSwift有關。
研究人員發現了一場社會工程活動,其中一份腐敗的 PDF 被偽裝成一家大型加密貨幣交易所「財務和營運副總裁」的職位描述。該 PDF 釋放了一個名為 RustBucket 的第二階段惡意軟體,這是一個基於 Rust 的後門,支援檔案執行。
RustBucket 植入程式可以收集基本系統信息,與指定的 URL 通信,並透過偽裝成「Safari 更新」的啟動代理建立持久性,使其能夠聯繫硬編碼的命令和控制 (C2) 域。
北韓駭客組織持續發展
北韓對 Web3 組織的關注不僅限於社會工程,還包括軟體供應鏈攻擊,最近涉及 3CX 和 JumpCloud 的事件證明了這一點。一旦攻擊者透過惡意軟體建立存取權限,他們就會轉向密碼管理器收集憑證,透過程式碼儲存庫和文件進行內部偵察,並滲透雲端託管環境以發現熱錢包金鑰並最終耗盡資金。
這項揭露與美國聯邦調查局 (FBI) 發出警告有關,北韓威脅行為者透過高度專業化且難以察覺的社會工程活動針對加密貨幣產業。
這些持續的努力通常涉及冒充招聘公司或熟悉的個人,提供就業或投資機會。這種策略成為了大膽的加密貨幣搶劫的門戶,旨在為仍受到國際制裁的北韓創造非法收入。
威脅行為者使用個人化策略來感染目標
這些參與者使用的主要策略包括:
- 針對加密貨幣相關業務。
- 在聯繫之前對受害者進行徹底的行動前研究。
- 創建高度個人化的假場景以增加成功的可能性。
他們可能會提及受害者可能認為只有少數人知道的個人詳細信息,例如興趣、隸屬關係、事件、關係或專業關係。這種方法旨在建立融洽關係並最終傳播惡意軟體。
如果他們成功建立溝通,最初的參與者或其他團隊成員可能會投入大量時間與受害者互動,以增強合法性的外觀並培養熟悉感和信任感。
