عوامل تهدید کره شمالی بدافزار COVERTCATCH را از طریق کلاهبرداری های شغلی لینکدین منتشر می کنند

عوامل تهدید کره شمالی بدافزار COVERTCATCH را از طریق کلاهبرداری های شغلی لینکدین منتشر می کنند

07 سپتامبر 2024راوی لاکشمانانامنیت سایبری/بدافزار

عوامل تهدید کننده کره شمالی مشاهده شده است که از لینکدین به عنوان ابزاری برای هدف قرار دادن توسعه دهندگان به عنوان بخشی از فرآیند استخدام جعلی استفاده می کنند.

Mandiant متعلق به گوگل در گزارش جدیدی در مورد تهدیدات پیش روی بخش Web3 گفت که این حملات از تست های کدگذاری به عنوان یک ناقل اولیه اولیه عفونت استفاده می کنند.

محققان رابرت والاس، بلاس کوجوسنر و جوزف دابسون می‌گویند: «پس از گفتگوی اولیه، مهاجم یک فایل ZIP حاوی بدافزار COVERTCATCH را که به عنوان چالش برنامه‌نویسی پایتون پنهان شده بود، ارسال کرد.

امنیت سایبری

این بدافزار به‌عنوان یک سکوی پرتاب عمل می‌کند تا سیستم macOS هدف را با دانلود یک بار مرحله دوم که از طریق Launch Agents و Launch Daemons پایداری ایجاد می‌کند، به خطر بیاندازد.

شایان ذکر است که این یکی از مجموعه‌ای از فعالیت‌ها است – یعنی عملیات رویایی، مصاحبه مسری و موارد دیگر – که توسط گروه‌های هکر کره شمالی انجام می‌شود که از ابزارهای مرتبط با شغل جعلی برای آلوده کردن اهداف به بدافزار استفاده می‌کنند.

طعمه‌های استخدامی نیز یک تاکتیک رایج برای ارائه خانواده‌های بدافزار مانند RustBucket و KANDYKORN بوده‌اند. در حال حاضر مشخص نیست که آیا COVERTCATCH ارتباطی با این سویه ها یا TodoSwift تازه شناسایی شده دارد یا خیر.

Mandiant گفت که یک کمپین مهندسی اجتماعی را شناسایی کرده است که یک فایل PDF مخرب را به عنوان شرح شغل برای “معاون مالی و عملیات” در یک صرافی برجسته ارزهای دیجیتال ارائه می دهد.

PDF مخرب یک بدافزار مرحله دوم به نام RustBucket را حذف کرد که یک برنامه در پشتی است که در Rust نوشته شده و از اجرای فایل پشتیبانی می کند.

ایمپلنت RustBucket مجهز به جمع آوری اطلاعات اولیه سیستم، برقراری ارتباط با URL ارائه شده از طریق خط فرمان، و راه اندازی پایداری با استفاده از یک عامل بوت است که به عنوان “Safari Update” ظاهر می شود تا با دامنه کنترل و فرمان برنامه ریزی شده (C2) ارتباط برقرار کند. .

هدف قرار دادن سازمان های Web3 توسط کره شمالی نیز فراتر از مهندسی اجتماعی است و شامل حملات زنجیره تامین نرم افزار می شود، همانطور که در حوادثی که در سال های اخیر 3CX و JumpCloud را هدف قرار دادند مشاهده شد.

Mandiant می گوید: «هنگامی که از طریق بدافزار جا پایی ایجاد شود، مهاجمان برای سرقت اطلاعات اعتباری، شناسایی داخلی از طریق مخازن کد و احراز هویت، و رفتن به محیط میزبانی ابری برای کشف کلیدهای میانبر کیف پول و در نهایت تخلیه وجوه، به مدیران رمز عبور مراجعه می کنند.

این افشاگری در بحبوحه هشداری از سوی اداره تحقیقات فدرال ایالات متحده (FBI) در مورد بازیگران کره شمالی که صنعت ارزهای دیجیتال را با استفاده از “کمپین های مهندسی اجتماعی بسیار طراحی شده و به سختی شناسایی می کنند” هدف قرار داده است.

این تلاش‌های مستمر، که جعل هویت شرکت‌های استخدام یا افرادی است که قربانی ممکن است به‌طور شخصی یا غیرمستقیم از طریق پیشنهادهای کار یا سرمایه‌گذاری بشناسد، به عنوان مجرای دزدی‌های آشکار ارزهای دیجیتال طراحی شده برای ایجاد درآمد غیرقانونی برای پادشاهی منزوی، که موضوع تحریم‌های بین‌المللی بوده است، عمل می‌کند.

امنیت سایبری

تاکتیک‌های قابل توجه مورد استفاده عبارتند از شناسایی شرکت‌های مورد علاقه مرتبط با ارزهای دیجیتال، انجام تحقیقات عملیاتی گسترده در مورد اهداف آنها قبل از شروع تماس، و تنظیم سناریوهای جعلی سفارشی در تلاش برای جذب قربانیان احتمالی و افزایش احتمال موفقیت‌آمیز بودن حملات آنها.

اف‌بی‌آی با تاکید بر تلاش‌ها برای ایجاد رابطه و در نهایت ارائه بدافزار، گفت: «مجرم ممکن است به اطلاعات شخصی، علایق، وابستگی‌ها، رویدادها، روابط شخصی، ارتباطات حرفه‌ای یا جزئیاتی اشاره کند که قربانی ممکن است فکر کند تنها برای چند نفر دیگر شناخته شده است.» .

“اگر در برقراری ارتباط دو طرفه موفق باشد، مرتکب اول یا یکی دیگر از اعضای تیم مرتکب، ممکن است زمان قابل توجهی را صرف تعامل با قربانی برای افزایش حس مشروعیت و ایجاد آشنایی و اعتماد کند.”

آیا این مقاله برای شما جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html