N. Koreaanse hackers gebruiken nep-interviews om ontwikkelaars te infecteren met platformonafhankelijke malware

Er is waargenomen dat bedreigingsactoren met banden met Noord-Korea zich richten op werkzoekenden in de technologie-industrie om bijgewerkte versies te leveren van bekende malwarefamilies, gevolgd als BeaverTail en InvisibleFerret.

Het activiteitencluster, bijgehouden als CL-STA-0240, maakt deel uit van een campagne genaamd Besmettelijk interview dat Palo Alto Networks Unit 42 voor het eerst openbaar maakte in november 2023.

“De dreigingsactor achter CL-STA-0240 neemt contact op met softwareontwikkelaars via platforms voor het zoeken naar werk door zich voor te doen als een potentiële werkgever”, aldus Unit 42 in een nieuw rapport.

“De aanvallers nodigen het slachtoffer uit om deel te nemen aan een online interview, waarbij de bedreigingsacteur het slachtoffer probeert te overtuigen om malware te downloaden en te installeren.”

De eerste fase van de infectie omvat de BeaverTail-downloader en informatiesteler die is ontworpen voor zowel Windows- als Apple macOS-platforms. De malware fungeert als kanaal voor de op Python gebaseerde InvisibleFerret-achterdeur.

Er zijn aanwijzingen dat de activiteit ondanks publieke onthullingen actief blijft, wat aangeeft dat de bedreigingsactoren achter de operatie succes blijven proeven door ontwikkelaars te verleiden kwaadaardige code uit te voeren onder het voorwendsel van een codeeropdracht.

N. Koreaanse hackers

Beveiligingsonderzoeker Patrick Wardle en cybersecuritybedrijf Group-IB hebben in twee recente analyses een aanvalsketen gedetailleerd beschreven waarbij gebruik werd gemaakt van nep-Windows- en macOS-videoconferentietoepassingen die zich voordoen als MiroTalk en FreeConference.com om ontwikkelaarssystemen te infiltreren met BeaverTail en InvisibleFerret.

Wat het opmerkelijk maakt, is dat de nep-applicatie is ontwikkeld met behulp van Qt, dat cross-compilatie voor zowel Windows als macOS ondersteunt. De op Qt gebaseerde versie van BeaverTail kan browserwachtwoorden stelen en gegevens uit verschillende cryptocurrency-portefeuilles verzamelen.

BeaverTail is, naast het exfiltreren van de gegevens naar een door de tegenstander bestuurde server, uitgerust om de InvisibleFerret-achterdeur te downloaden en uit te voeren, die twee eigen componenten bevat:

  • Een belangrijke payload die vingerafdrukken van de geïnfecteerde host, afstandsbediening, keylogging, data-exfiltratie en downloaden van AnyDesk mogelijk maakt
  • Een browser-stealer die browsergegevens en creditcardgegevens verzamelt

“Het is bekend dat Noord-Koreaanse dreigingsactoren financiële misdaden plegen om het Noord-Koreaanse regime te steunen”, aldus Unit 42. “Deze campagne kan financieel gemotiveerd zijn, omdat de BeaverTail-malware het vermogen heeft om 13 verschillende cryptocurrency-wallets te stelen.”

Thijs Van der Does