De Noord-Koreaanse dreigingsacteurs achter Contagious Interview hebben de steeds populairdere ClickFix Social Engineering-tactiek overgenomen om werkzoekenden in de cryptocurrency-sector te lokken om een eerder gebaseerde achterdeur zonder papieren te leveren, Golangghost op Windows en MacOS-systemen.
De nieuwe activiteit, die wordt beoordeeld als een voortzetting van de campagne, is gecodeerd Clickfake -interview Door het Franse cybersecuritybedrijf Sekoia. Bezettelijk interview, ook gevolgd als bedrieglijke ontwikkeling, Dev#Popper en beroemde Chollima, is bekend dat het sinds minstens december 2022 actief is, hoewel het pas voor het eerst eind 2023 voor het eerst werd gedocumenteerd.
“Het maakt gebruik van legitieme sollicitatiegesprekwebsites om de ClickFix -tactiek te benutten en Windows en MacOS -backdoors te installeren,” zei Sekoia -onderzoekers Amaury G., Coline Chavane, en Felix Aimé, die de inspanningen toeschrijven aan de Infamous Lazarus Group, een productie die wordt toegeschreven aan de Reconnaissance General BureaU (RGB) van de Democratic People’s Republic of the Democratic People’s Republic van Korea (RGB) van de Democratic People’s Republic of the Democratic People’s Republic van Korea (DPRK).
Een opmerkelijk aspect van de campagne is dat het voornamelijk gericht is op gecentraliseerde financiële entiteiten door bedrijven als Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood en Bybit te maken, een afwijking van de aanvallen van de hackgroep tegen gedecentraliseerde Finance (Defi) entiteiten.
Bezetting interview, zoals Operation Dream Job, maakt gebruik van nepaanbiedingen als kunstaas om potentiële doelen aan te trekken en ze te duperen om malware te downloaden die cryptocurrency en andere gevoelige gegevens kan stelen.
Als onderdeel van de inspanning worden kandidaten benaderd via LinkedIn of X om zich voor te bereiden op een interview met videogesprekken, waarvoor hen wordt gevraagd om een videoconferentiesoftware voor malware te downloaden of een open-source-project dat het infectieproces activeert.
Het gebruik van de ClickFix -tactiek door Lazarus Group werd eerst tegen het einde van 2024 bekendgemaakt door beveiligingsonderzoeker Taylor Monahan, met de aanvalsketens die leidden tot de inzet van een familie van malware genaamd Ferret die vervolgens de Golang -achterdeur levert.
In deze iteratie van de campagne worden slachtoffers gevraagd om een vermeende video -interviewservice genaamd Willo te bezoeken en een video -beoordeling van zichzelf te voltooien.
“De hele opstelling, zorgvuldig ontworpen om gebruikersvertrouwen te bouwen, verloopt soepel totdat de gebruiker wordt gevraagd om zijn camera in te schakelen,” legde Sekoia uit. “Op dit moment verschijnt er een foutmelding dat aangeeft dat de gebruiker een stuurprogramma moet downloaden om het probleem op te lossen. Dit is waar de operator de ClickFix -techniek gebruikt.”
De instructies die aan het slachtoffer worden gegeven om toegang tot de camera of microfoon mogelijk te maken, variëren afhankelijk van het gebruikte besturingssysteem. Op Windows worden de doelen gevraagd om de opdrachtprompt te openen en een curl -opdracht uit te voeren om een Visual Basic Script (VBS) -bestand uit te voeren, dat vervolgens een batchscript starten om Golangghost uit te voeren.
In het geval dat het slachtoffer de site van een macOS -machine bezoekt, worden ze op dezelfde manier gevraagd om de terminal -app te starten en een CURL -opdracht uit te voeren om een shell -script uit te voeren. Het kwaadaardige shell -script van zijn kant voert een tweede shellscript uit dat op zijn beurt een Stealer -module uitvoert genaamd Frostyferret (aka ChromeupDateAlert) en de achterdeur.
Frostyferret geeft een nep -venster weer waarin staat dat de Chrome -webbrowser toegang nodig heeft tot de camera of microfoon van de gebruiker, waarna het een prompt weergeeft om het systeemwachtwoord in te voeren. De ingevoerde informatie, ongeacht of deze geldig of anderszins is, wordt geëxfiltreerd naar een Dropbox -locatie, waarmee waarschijnlijk een poging wordt aangegeven om toegang te krijgen tot de iCloud -sleutelhanger met behulp van het gestolen wachtwoord.
Golangghost is ontworpen om afstandsbediening en gegevensdiefstal te vergemakkelijken via verschillende opdrachten waarmee het bestanden kan uploaden/downloaden, hostinformatie kan verzenden en webbrowsergegevens kan stelen.
“Er werd vastgesteld dat alle posities niet gerelateerd waren aan technische profielen in softwareontwikkeling,” merkte Sekia op. “Ze zijn vooral banen van manager die zich richten op bedrijfsontwikkeling, vermogensbeheer, productontwikkeling of gedecentraliseerde financiële specialisten.”
“Dit is een belangrijke wijziging van eerdere gedocumenteerde campagnes die worden toegeschreven aan DPRK-Nexus-dreigingsactoren en gebaseerd op nep-sollicitatiegesprekken, die voornamelijk gericht waren op ontwikkelaars en software-ingenieurs.”
Noord -Korea IT Worker Scheme wordt actief in Europa
De ontwikkeling komt zoals de Google Threat Intelligence Group (GTIG) zei dat het een toename van het frauduleuze IT -werknemersschema in Europa heeft waargenomen, waardoor een significante uitbreiding van hun activiteiten buiten de Verenigde Staten werd onderstreept.
De IT -werknemersactiviteit houdt in dat Noord -Koreaanse onderdanen zich voordoen als legitieme externe werknemers om bedrijven te infiltreren en illegale inkomsten voor Pyongyang te genereren in strijd met internationale sancties.
Verhoogd bewustzijn van de activiteit, in combinatie met de aanklachten van het Amerikaanse ministerie van Justitie, hebben een “wereldwijde uitbreiding van IT -werknemersactiviteiten” opgezet, zei Google, en merkte op dat het verschillende gefabriceerde persona’s ontdekte die werkgelegenheid zoeken in verschillende organisaties in Duitsland en Portugal.
De IT -werknemers zijn ook waargenomen die verschillende projecten in het Verenigd Koninkrijk hebben uitgevoerd met betrekking tot webontwikkeling, BOT -ontwikkeling, ontwikkeling van Content Management System (CMS) en blockchain -technologie, vaak vervalsen hun identiteit en beweren uit Italië, Japan, Maleisië, Singapore, Oekraïne, de Verenigde Staten en Vietnam.
Deze tactiek van IT -arbeiders die zich voordeden als Vietnamese, Japanners en Singaporese onderdanen werd ook begin vorige maand benadrukt door managed inlichtingenbedrijf Nisos, terwijl ze ook wijzen op hun gebruik van GitHub om nieuwe persona’s of recycle -portfolio -inhoud van oudere persona’s om hun nieuwe te versterken.
“IT -arbeiders in Europa werden aangeworven via verschillende online platforms, waaronder Upwork, Telegram en Freelancer,” zei Jamie Collier, hoofdadviseur van de dreiging voor Europa bij GTIG. “Betaling voor hun diensten werd gefaciliteerd door cryptocurrency, de transferwise -service en Payoneer, die het gebruik van methoden benadrukken die de oorsprong en bestemming van fondsen verdoezelen.”
Naast het gebruik van lokale facilitators om hen te helpen banen te landen, is de insider -dreigingsoperatie getuige van wat een piek in afpersingspogingen lijkt te zijn sinds oktober 2024, toen het publieke kennis werd dat deze IT -werknemers hun toevlucht nemen tot losgeldbetalingen van hun werkgevers om te voorkomen dat ze eigen gegevens vrijgeven of om het aan een concurrent te verstrekken.
In wat een verdere evolutie van de regeling lijkt te zijn, wordt nu gezegd dat de IT -werknemers zich richten op bedrijven die een beleid voor het Binnenlandse apparaat (BYOD) hebben vanwege het feit dat dergelijke apparaten waarschijnlijk geen traditionele beveiligings- en logtools hebben die in bedrijfsomgevingen worden gebruikt.
“Europa moet snel wakker worden. Ondanks dat ze in het vizier van IT -werknemersactiviteiten zijn, beschouwen te velen dit als een Amerikaans probleem. De recente verschuivingen van Noord -Korea komen waarschijnlijk voort uit Amerikaanse operationele hindernissen, waaruit blijkt dat de wendbaarheid en het vermogen van werknemers zich aan te passen aan veranderende omstandigheden,” zei Collier.
“Een decennium van diverse cyberaanvallen gaat vooraf aan de nieuwste toename van Noord -Korea – van snelle targeting en ransomware tot cryptocurrency diefstal en supply chain compromis. Deze niet -aflatende innovatie toont een langdurige inzet om het regime te financieren via cyberactiviteiten.”
