De Noord-Korea-afgestemde dreigingsacteur bekend als Bluenoroff is waargenomen gericht op een werknemer in de Web3-sector met misleidende zoomoproepen met diepgevochtelijke bedrijfsleiders om ze te misleiden om malware op hun Apple MacOS-apparaten te installeren.
Huntress, die details onthulde van de cyberinbreuk, zei dat de aanval gericht was op een naamloze medewerker van Cryptocurrency Foundation, die een bericht ontving van een extern contact op Telegram.
“De boodschap vroeg om tijd om met de werknemer te spreken en de aanvaller stuurde een Calendly -link om de vergadertijd in te stellen”, aldus beveiligingsonderzoekers Alden Schmidt, Stuart Ashenbrenner en Jonathan Semon. “De Link van Calendly was voor een Google Meet -evenement, maar wanneer geklikt, leidt de URL de eindgebruiker door naar een nep zoomdomein dat wordt bestuurd door de dreigingsacteur.”
Na enkele weken zou de werknemer zich hebben aangesloten bij een groepszoombijeenkomst met verschillende deepfakes van bekende leden van het senior leiderschap van hun bedrijf, samen met andere externe contacten.
Toen de werknemer echter zei dat ze hun microfoon niet konden gebruiken, drongen de synthetische persona’s er bij hen op aan om een zoomuitbreiding te downloaden en te installeren om het veronderstelde probleem aan te pakken. De link naar de extensie, gedeeld via Telegram, downloadde een AppleScript dat de naam “Zoom_SDK_Support.scpt” heeft gebruikt.
Dit AppleScript opent eerst een legitieme webpagina voor de Zoom Software Development Kit (SDK), maar is ook geconfigureerd om een heldere fase payload te downloaden van een externe server (“Support (.) US05Web-Zoom (.) Biz”) en een shell-script uit te voeren.
Het script begint met het uitschakelen van Bash History Logging en controleert vervolgens of Rosetta 2 is geïnstalleerd op de gecompromitteerde Mac, en zo niet, installeert het. Rosetta is een software waarmee Macs Apple Silicon met apps kunnen uitvoeren die zijn gebouwd voor een Mac met een Intel -processor (X86_64).
Het script gaat vervolgens over tot het maken van een verborgen bestand met de naam “.pwd” en downloadt een binair af van de Malicious Zoom-webpagina (“Web071Zoom (.lus/fix/audio-FV/7217417464”) naar de map “/tmp/icloud_helper”. “Web071zoom (.) US/Fix/Audio-TR/7217417464” om nog een niet-gespecificeerde payload op te halen.
Het shell -script vraagt de gebruiker ook om zijn systeemwachtwoord op te geven en veegt de geschiedenis van uitgevoerd opdrachten af om te voorkomen dat ze een forensisch pad verlaten. Huntress zei dat het onderzoek leidde tot de ontdekking van acht verschillende kwaadaardige binaries op de slachtofferhost –
- Telegram 2een op NIM gebaseerde binaire verantwoordelijkheid voor het starten van de primaire achterdeur
- Root Troy V4Een volledig geteisterde Go-achterdeur die wordt gebruikt om externe appliescript-payloads, shell-opdrachten uit te voeren en extra malware te downloaden en uit te voeren
- InjectWithDyldeen C ++ binaire lader gedownload door Root Troy V4, die op zijn beurt nog twee ladingen laat vallen: A goedaardige snelle aanvraag om procesinjectie en een andere te vergemakkelijken NIM -implantaat die de operator in staat stelt om opdrachten uit te geven en asynchroon te ontvangen
- Xscreeneen Objective-C-keylogger met functies om de toetsaanslagen, het klembord en het scherm van het slachtoffer te controleren en de informatie naar een opdracht-en-control (C2) -server te verzenden
- Cryptoboteen op GO gebaseerde informatie-staler die cryptocurrency-gerelateerde bestanden van de host kan verzamelen
- Netchkeen bijna leeg binair getal dat is ontworpen om voor altijd willekeurige getallen te genereren
BlueNoroff, also tracked under the names Alluring Pisces, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima, and TA444, is a sub-cluster within the Lazarus Group that has a history of striking financial institutions, cryptocurrency businesses, and ATMs for monetary gain and generate revenue for the Democratic People’s Republic of Korea (DPRK).
De groep is vooral bekend voor het orkestreren van een reeks cryptocurrency -overvallen die bekend staan als TrainerTraitor om werknemers te richten op organisaties die betrokken zijn bij blockchain -onderzoek met kwaadaardige cryptocurrency -handelsapplicaties. Sommige van de belangrijke gevallen zijn de hacks van Bybit in februari 2025 en Axie Infinity in maart 2022.
“Werknemers op afstand, vooral in risicovolle werkgebieden, zijn vaak de ideale doelen voor groepen als TA444,” zei Huntress. “Het is belangrijk om werknemers op te leiden om gemeenschappelijke aanvallen te identificeren die beginnen met sociale engineering met betrekking tot externe vergadersoftware.”
According to DTEX’s latest assessment of North Korea’s cyber structure, the APT38 mission likely no longer exists and has fractured into TraderTraitor (aka Jade Sleet and UNC4899) and CryptoCore (aka CageyChameleon, CryptoMimic, DangerousPassword, LeeryTurtle, and Sapphire Sleet), with the new clusters becoming the new faces of financial theft for the regime.
“TrainerTraitor is misschien wel de meest productieve van de DVK APT -groepen als het gaat om diefstal van cryptocurrency en lijkt het meeste talent te hebben gehuisvest van de oorspronkelijke APT38 -inspanning,” zei Dtex. “Cryptocore is sinds minstens 2018 actief en splitst waarschijnlijk uit de APT38 met TrainerTraitor.”
Wat meer is, het gebruik van kunstaas met audiopwestie-thema om potentiële slachtoffers te misleiden om hun eigen machines met malware te compromitteren, heeft zijn echo’s in een evolutie van een andere Noord-Korea-gekoppelde campagne nagesynchroniseerd besmettelijk interview, waarbij de alerts in ClickFix-achtige waarschuwingen worden gebruikt om een andere malware genaamd Golangghost te leveren.
De nieuwe iteratie, aangeduid als Clickfake -interview, draait om het maken van nep -vacatures en het duperen van sollicitanten om een kwaadaardig commando te kopiëren en uit te voeren onder het voorwendsel om een probleem aan te pakken met Access Camera en Microphone op een nepwebsite opgesteld door de dreigingsacteurs om hun huren te beoordelen.
Deze platformonafhankelijke aanvallen, volgens Cisco Talos, zijn sindsdien verder geëvolueerd en hebben een python-versie van Golangghost gebruikt die Codenaam Pylangghost heeft. De nep-beoordelingssites doen zich voor als bekende financiële entiteiten zoals Archblock, Coinbase, Robinhood en UniSwap, en is gevonden dat ze zich richten op een kleine set gebruikers die voornamelijk in India zijn gevestigd.
“In recente campagnes heeft de beroemde Chollima van de dreigingsacteur-mogelijk gemaakt van meerdere groepen-een op Python gebaseerde versie van hun Trojan gebruikt om Windows Systems te richten, terwijl hij een Golang-gebaseerde versie voor MacOS-gebruikers blijft implementeren,” zei beveiligingsonderzoeker Vanja Svajcer. “Linux -gebruikers zijn niet het doelwit in deze nieuwste campagnes.”
Pylangghost legt, net als zijn Golang -tegenhanger, contact op met een C2 -server om opdrachten te ontvangen waarmee de aanvallers de geïnfecteerde machine op afstand kunnen besturen, bestanden downloaden/uploaden, evenals cookies en referenties van meer dan 80 browser -extensies, inclusief wachtwoordbeheerders en cryptocurrency -wandelwalls.
“Het is niet duidelijk (…) waarom de dreigingsacteurs besloten om twee varianten te maken met behulp van een andere programmeertaal, of die eerst werd gemaakt,” merkte Talos op. “De structuur, de naamgevingsconventies en de functienamen zijn erg vergelijkbaar, wat aangeeft dat de ontwikkelaars van de verschillende versies ofwel nauw samenwerkten of dezelfde persoon zijn.”
