COVERTCATCH-Malware
Es wurde festgestellt, dass nordkoreanische Bedrohungsakteure LinkedIn ausnutzen, um Entwickler durch gefälschte Stellenvermittlungsprogramme anzugreifen. Eine wichtige Taktik besteht darin, Codierungstests als anfängliche Infektionsmethode zu verwenden. Nachdem der Angreifer das Ziel in einen Chat verwickelt hat, sendet er eine als Python-Codierungsherausforderung getarnte ZIP-Datei, die tatsächlich die COVERTCATCH-Malware enthält. Nach der Ausführung leitet diese Malware einen Angriff auf das macOS-System des Ziels ein und lädt eine Nutzlast der zweiten Stufe herunter, um mithilfe von Launch Agents und Launch Daemons Persistenz herzustellen.
Inhaltsverzeichnis
Nordkorea bleibt Hauptakteur der Cyberkriminalität
Allerdings handelt es sich dabei nur um ein Beispiel unter zahlreichen Aktivitäten nordkoreanischer Hackergruppen, die mit berufsbezogenen Ködern Schadsoftware verbreiten, wie etwa bei Operation Dream Job und Contagious Interview.
Rekrutierungsorientierte Taktiken wurden auch häufig verwendet, um Malware-Familien wie RustBucket und KANDYKORN zu verbreiten. Derzeit ist unklar, ob COVERTCATCH mit diesen oder dem neu entdeckten TodoSwift verwandt ist.
Forscher haben eine Social-Engineering-Kampagne identifiziert, bei der eine korrupte PDF-Datei als Stellenbeschreibung für einen „Vizepräsidenten für Finanzen und Betrieb“ bei einer großen Kryptowährungsbörse getarnt war. Diese PDF-Datei enthielt eine Malware der zweiten Stufe namens RustBucket, eine Rust-basierte Hintertür, die die Ausführung von Dateien unterstützt.
Das RustBucket-Implantat kann grundlegende Systeminformationen sammeln, mit einer angegebenen URL kommunizieren und Persistenz über einen Launch Agent herstellen, der sich als „Safari-Update“ tarnt und so die Kontaktaufnahme mit einer fest codierten Command-and-Control-Domäne (C2) ermöglicht.
Nordkoreanische Hackergruppen entwickeln sich weiter
Nordkoreas Fokus auf Web3-Organisationen geht über Social Engineering hinaus und umfasst auch Angriffe auf die Software-Lieferkette, wie die jüngsten Vorfälle mit 3CX und JumpCloud zeigen. Sobald sich Angreifer über Malware Zugang verschafft haben, nutzen sie Passwortmanager, um Anmeldeinformationen zu sammeln, führen interne Aufklärungskampagnen durch Code-Repositories und Dokumentationen durch und infiltrieren Cloud-Hosting-Umgebungen, um Hot-Wallet-Schlüssel aufzuspüren und letztlich Gelder abzuschöpfen.
Diese Enthüllung erfolgt im Zusammenhang mit einer Warnung des US-amerikanischen Federal Bureau of Investigation (FBI) vor nordkoreanischen Bedrohungsakteuren, die mit hochspezialisierten und schwer zu erkennenden Social-Engineering-Kampagnen auf die Kryptowährungsbranche abzielen.
Bei diesen laufenden Bemühungen wird häufig die Identität von Personalvermittlungsfirmen oder bekannten Personen nachgeahmt, um Beschäftigungs- oder Investitionsmöglichkeiten anzubieten. Solche Taktiken dienen als Tor für dreiste Krypto-Diebstähle, die darauf abzielen, illegale Einnahmen für Nordkorea zu generieren, das weiterhin unter internationalen Sanktionen steht.
Bedrohungsakteure verwenden personalisierte Taktiken, um Ziele zu infizieren
Zu den wichtigsten Taktiken dieser Akteure gehören:
- Ziel sind Unternehmen im Zusammenhang mit Kryptowährungen.
- Führen Sie vor der Kontaktaufnahme eine gründliche Untersuchung Ihrer Opfer durch.
- Erstellen hochpersonalisierter simulierter Szenarien, um die Erfolgswahrscheinlichkeit zu erhöhen.
Sie verweisen möglicherweise auf persönliche Details wie Interessen, Zugehörigkeiten, Ereignisse, Beziehungen oder berufliche Verbindungen, von denen das Opfer möglicherweise annimmt, dass sie nur wenigen bekannt sind. Dieser Ansatz zielt darauf ab, Vertrauen aufzubauen und letztendlich Malware zu verbreiten.
Wenn es ihnen gelingt, eine Kommunikation herzustellen, kann der ursprüngliche Akteur oder ein anderes Teammitglied viel Zeit in die Interaktion mit dem Opfer investieren, um den Anschein von Legitimität zu erwecken und ein Gefühl von Vertrautheit und Vertrauen zu fördern.
