عوامل تهدید کننده کره شمالی مشاهده شده است که از لینکدین به عنوان ابزاری برای هدف قرار دادن توسعه دهندگان به عنوان بخشی از فرآیند استخدام جعلی استفاده می کنند.
Mandiant متعلق به گوگل در گزارش جدیدی در مورد تهدیدات پیش روی بخش Web3 گفت که این حملات از تست های کدگذاری به عنوان یک ناقل اولیه اولیه عفونت استفاده می کنند.
محققان رابرت والاس، بلاس کوجوسنر و جوزف دابسون میگویند: «پس از گفتگوی اولیه، مهاجم یک فایل ZIP حاوی بدافزار COVERTCATCH را که به عنوان چالش برنامهنویسی پایتون پنهان شده بود، ارسال کرد.
این بدافزار بهعنوان یک سکوی پرتاب عمل میکند تا سیستم macOS هدف را با دانلود یک بار مرحله دوم که از طریق Launch Agents و Launch Daemons پایداری ایجاد میکند، به خطر بیاندازد.
شایان ذکر است که این یکی از مجموعهای از فعالیتها است – یعنی عملیات رویایی، مصاحبه مسری و موارد دیگر – که توسط گروههای هکر کره شمالی انجام میشود که از ابزارهای مرتبط با شغل جعلی برای آلوده کردن اهداف به بدافزار استفاده میکنند.
طعمههای استخدامی نیز یک تاکتیک رایج برای ارائه خانوادههای بدافزار مانند RustBucket و KANDYKORN بودهاند. در حال حاضر مشخص نیست که آیا COVERTCATCH ارتباطی با این سویه ها یا TodoSwift تازه شناسایی شده دارد یا خیر.
Mandiant گفت که یک کمپین مهندسی اجتماعی را شناسایی کرده است که یک فایل PDF مخرب را به عنوان شرح شغل برای “معاون مالی و عملیات” در یک صرافی برجسته ارزهای دیجیتال ارائه می دهد.
PDF مخرب یک بدافزار مرحله دوم به نام RustBucket را حذف کرد که یک برنامه در پشتی است که در Rust نوشته شده و از اجرای فایل پشتیبانی می کند.
ایمپلنت RustBucket مجهز به جمع آوری اطلاعات اولیه سیستم، برقراری ارتباط با URL ارائه شده از طریق خط فرمان، و راه اندازی پایداری با استفاده از یک عامل بوت است که به عنوان “Safari Update” ظاهر می شود تا با دامنه کنترل و فرمان برنامه ریزی شده (C2) ارتباط برقرار کند. .
هدف قرار دادن سازمان های Web3 توسط کره شمالی نیز فراتر از مهندسی اجتماعی است و شامل حملات زنجیره تامین نرم افزار می شود، همانطور که در حوادثی که در سال های اخیر 3CX و JumpCloud را هدف قرار دادند مشاهده شد.
Mandiant می گوید: «هنگامی که از طریق بدافزار جا پایی ایجاد شود، مهاجمان برای سرقت اطلاعات اعتباری، شناسایی داخلی از طریق مخازن کد و احراز هویت، و رفتن به محیط میزبانی ابری برای کشف کلیدهای میانبر کیف پول و در نهایت تخلیه وجوه، به مدیران رمز عبور مراجعه می کنند.
این افشاگری در بحبوحه هشداری از سوی اداره تحقیقات فدرال ایالات متحده (FBI) در مورد بازیگران کره شمالی که صنعت ارزهای دیجیتال را با استفاده از “کمپین های مهندسی اجتماعی بسیار طراحی شده و به سختی شناسایی می کنند” هدف قرار داده است.
این تلاشهای مستمر، که جعل هویت شرکتهای استخدام یا افرادی است که قربانی ممکن است بهطور شخصی یا غیرمستقیم از طریق پیشنهادهای کار یا سرمایهگذاری بشناسد، به عنوان مجرای دزدیهای آشکار ارزهای دیجیتال طراحی شده برای ایجاد درآمد غیرقانونی برای پادشاهی منزوی، که موضوع تحریمهای بینالمللی بوده است، عمل میکند.
تاکتیکهای قابل توجه مورد استفاده عبارتند از شناسایی شرکتهای مورد علاقه مرتبط با ارزهای دیجیتال، انجام تحقیقات عملیاتی گسترده در مورد اهداف آنها قبل از شروع تماس، و تنظیم سناریوهای جعلی سفارشی در تلاش برای جذب قربانیان احتمالی و افزایش احتمال موفقیتآمیز بودن حملات آنها.
افبیآی با تاکید بر تلاشها برای ایجاد رابطه و در نهایت ارائه بدافزار، گفت: «مجرم ممکن است به اطلاعات شخصی، علایق، وابستگیها، رویدادها، روابط شخصی، ارتباطات حرفهای یا جزئیاتی اشاره کند که قربانی ممکن است فکر کند تنها برای چند نفر دیگر شناخته شده است.» .
“اگر در برقراری ارتباط دو طرفه موفق باشد، مرتکب اول یا یکی دیگر از اعضای تیم مرتکب، ممکن است زمان قابل توجهی را صرف تعامل با قربانی برای افزایش حس مشروعیت و ایجاد آشنایی و اعتماد کند.”
منبع: https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html