De Noord-Korea-gekoppelde dreigingsacteurs geassocieerd met de besmettelijke interviewcampagne zijn toegeschreven aan een eerder zonder papieren achterdeur genaamd Akdoortea, samen met tools zoals Tsunamikit en Tropidoor.
Slowaakse cybersecuritybedrijf ESET, die de activiteit bijhoudt onder de naam van de naam Ontceptontwikkeling, zei dat de campagne zich richt op softwareontwikkelaars in alle besturingssystemen, Windows, Linux en MacOS, met name die betrokken zijn bij cryptocurrency- en Web3 -projecten. Het wordt ook wel dev#popper, beroemde Chollima, Gwisin -bende, vasthoudende pungsan, UNC5342 en ongeldige Dokkaebi genoemd.
“De toolset van de Ontlopingontwikkeling is meestal multi-platform en bestaat uit initiële verduisterde kwaadaardige scripts in Python en JavaScript, basis backdoors in Python en Go, en een donker webproject in .NET,” zei ESET-onderzoekers Peter Kálnai en Matěj Havránek in een rapport van het hackersnieuws.
De campagne omvat in wezen de nabootsende recruiters die aanbieden wat lucratieve functies lijken te zijn op platforms zoals LinkedIn, Upwork, Freelancer en Crypto Jobs List. Mochten het potentiële doel, als het potentiële doelwit de mogelijkheid is, ofwel wordt gevraagd om een video -beoordeling te voltooien door op een link of een coderingsoefening te klikken.
De programmeeropdracht vereist dat ze projecten klonen die op GitHub worden gehost, die in stilte malware installeren. Aan de andere kant zijn websites expliciet ingesteld voor het uitvoeren van de zogenaamde video-beoordelingsweergave van niet-bestaande fouten met betrekking tot camera of microfoontoegang die worden geblokkeerd, en dringen er bij hen op aan om clickfix-stijl instructies te volgen om het probleem op te lossen door de opdrachtprompt of de terminal-app te starten, afhankelijk van het gebruikte besturingssysteem.
Ongeacht de gebruikte methode, zijn de aanvallen in het algemeen gevonden om verschillende stukken malware te leveren, zoals Beavertail, InisibleFerret, OtterCookie, Golangghost (AKA FlexiberRet of WeaselStore) en Pylangghost.
“De functionaliteit van Weaselstore is vrij gelijkaardig aan zowel Beavertail als Invisabileferret, waarbij de belangrijkste focus exfiltratie is van gevoelige gegevens van browsers en cryptocurrency -portefeuilles,” zei ESET. “Zodra de gegevens zijn geëxfiltreerd, blijft WeaselStore, in tegenstelling tot traditionele infostealers, communiceren met zijn C & C -server, die dient als een rat die in staat is om verschillende opdrachten uit te voeren.”
Ook geïmplementeerd als onderdeel van deze infectiesequenties zijn Tsunamikit, Postnapta en Tropidoor, waarvan de eerste een malware -toolkit is die wordt geleverd door InvisableFerret en is ontworpen voor informatie en diefstal van cryptocurrency. Het gebruik van tsunamikit werd voor het eerst ontdekt in november 2024.
De toolkit bestaat uit verschillende componenten, waarbij het startpunt de eerste fase tsunamiloader is die de uitvoering van een injector (tsunamiinjector) activeert, die op zijn beurt tsunamiinstaller en tsunamihardener laat vallen.
Terwijl tsunamiinstaller fungeert als een druppelaar van tsunamiclientInstaller die vervolgens tsunamiclient downloadt en uitvoert, is tsunamihardener verantwoordelijk voor het instellen van persistentie voor tsunamiclient, en het configureren van microsoft -verdedigingsuitsluitingen. Tsunamiclient is de kernmodule die A.NET -spyware bevat en cryptocurrency -mijnwerkers zoals XMRIG en NBMINER laat vallen.
Er wordt aangenomen dat tsunamikit waarschijnlijk een aanpassing is van een donker webproject in plaats van een native creatie van de dreigingsacteur, gezien het feit dat monsters met betrekking tot de toolkit zijn ontdekt dat dateren uit december 2021, dat vóór het begin van het besmettelijke interview, dat wordt verondersteld ergens in eind 2022 te zijn begonnen.
De Beavertail Stealer en Downloader is ook gebleken als een distributievoertuig voor een andere malware die bekend staat als Tropidoor die volgens ASEC overlapt met een Lazarus -groepstool genaamd LightlessCan. ESET zei dat het bewijs vond van tropidoor -artefacten die werden geüpload naar Virustotal uit Kenia, Colombia en Canada, het toevoegen van de malware deelt ook “grote delen van code” met Postnapta, een malware die door de dreigingsacteur tegen Zuid -Koreaanse doelen in 2022 wordt gebruikt.
PostNaPtea ondersteunt opdrachten voor configuratie -updates, bestandsmanipulatie en schermafbeelding, bestandssysteembeheer, procesbeheer en het uitvoeren van aangepaste versies van Windows -opdrachten zoals WHOAMI, NetStat, Tracert, Lookup, IpConfig en SystemInfo, onder andere voor verbeterde stealth – een functie die ook aanwezig is in LightlessCan.
“Tropidoor is de meest geavanceerde payload die tot nu toe gekoppeld is aan de bedrieglijke ontwikkelingsgroep, waarschijnlijk omdat het is gebaseerd op malware ontwikkeld door de meer technisch geavanceerde dreigingsacteurs onder de paraplu van Lazarus,” zei Eset.
De nieuwste toevoeging aan het Arsenal van de dreigingsacteur is een externe toegang Trojan nagesynchroniseerd Akdoortea die wordt geleverd door middel van een Windows -batchscript. Het script downloadt een zip -bestand (“nvidiarelease.zip”) en voert een visuele basisscript uit, dat vervolgens overgaat tot het starten van Beavertail en Akdoortea payloads die ook in het archief zijn opgenomen.
Het is de moeite waard om erop te wijzen dat de campagne in het verleden NVIDIA-thema-updates heeft gebruikt als onderdeel van ClickFix-aanvallen om veronderstelde camera- of microfoonproblemen aan te pakken bij het verstrekken van de video-beoordelingen, wat aangeeft dat deze aanpak wordt gebruikt om Akdoortea te propageren.
Akdoortea haalt zijn naam aan het feit dat het overeenkomsten deelt met Akdoor, die wordt beschreven als een variant van het Nukesped (aka manuscrypt) implantaat – verder versterken van de verbindingen van besmettelijke interview met de grotere Lazarus -groeps -paraplu.
“De TTP’s van de Mdeptived-ontwikkeling illustreren een meer gedistribueerd, volumegedreven model van zijn activiteiten. Ondanks het feit dat ze vaak ontbreekt aan technische verfijning, compenseert de groep door schaal en creatieve social engineering,” zei Eset.
“De campagnes demonstreren een pragmatische aanpak, het benutten van open-source tooling, het hergebruiken van beschikbare donkere webprojecten, het aanpassen van malware die waarschijnlijk wordt gehuurd van andere Noord-Korea-uitgelijnde groepen, en gebruik van menselijke kwetsbaarheden door nepaanbiedingen en interviewplatforms.”
Bestuurs interview werkt niet in Silo, omdat het ook is gevonden om een deel van overlappingen te delen met Pyongyang’s frauduleuze IT -werknemersschema (AKA Wagemole), waarbij de ZScaler opmerkt dat inlichtingen van de eerste worden gebruikt door Noord -Koreaanse acteurs om banen te beveiligen bij die bedrijven met behulp van gestolen identiteiten en synthetische persona’s. Aangenomen wordt dat de IT -werknemersdreiging sinds 2017 aan de gang is.
Cybersecurity Company Trellix zei in een rapport dat deze week is gepubliceerd, dat het een exemplaar ontdekte van een Noord -Koreaanse IT -werknemersfraude gericht op een Amerikaans gezondheidszorgbedrijf, waarbij een persoon de naam “Kyle Lankford” solliciteerde voor een functie van de belangrijkste software -ingenieur.
Hoewel de sollicitant geen rode vlaggen heeft opgevoed tijdens de vroege stadia van het wervingsproces, zei Trellix dat het in staat was om hun e -mailadressen te correleren met bekende IT -indicatoren in Noord -Korea. Verdere analyse van de e -mailuitwisselingen en achtergrondcontroles identificeerde de kandidaat als een waarschijnlijke Noord -Koreaanse operatie, voegde het eraan toe.
“De activiteiten van Noord -Koreaanse IT -werknemers vormen een hybride dreiging,” merkte Eset op. “Dit fraude-voor-huurschema combineert klassieke criminele operaties, zoals identiteitsdiefstal en synthetische identiteitsfraude, met digitale tools, die het classificeren als zowel een traditionele misdaad als een cybercriminaliteit (of e-crime).”
