Er is waargenomen dat criminelen die banden hebben met Noord-Korea, LinkedIn misbruiken om ontwikkelaars te targeten als onderdeel van een nep-wervingscampagne.
Bij deze aanvallen worden coderingstests gebruikt als een veelvoorkomende eerste infectievector, aldus Mandiant, eigendom van Google, in een nieuw rapport over de bedreigingen waarmee de Web3-sector te maken heeft.
“Na een eerste chatgesprek stuurde de aanvaller een ZIP-bestand met COVERTCATCH-malware, vermomd als een Python-codeeruitdaging”, aldus onderzoekers Robert Wallace, Blas Kojusner en Joseph Dobson.
De malware fungeert als een springplank om het macOS-systeem van het doelwit te compromitteren door een tweede-fase payload te downloaden die persistentie creëert via Launch Agents en Launch Daemons.
Het is de moeite waard om te benadrukken dat dit een van de vele activiteitenclusters is – namelijk Operation Dream Job, Contagious Interview en andere – die worden ondernomen door Noord-Koreaanse hackersgroepen die gebruikmaken van werkgerelateerde lokmiddelen om doelen te infecteren met malware.
Ook lokmiddelen met een rekruteringsthema zijn een veelgebruikte tactiek om malwarefamilies zoals RustBucket en KANDYKORN te verspreiden.
Mandiant meldde dat het een social engineering-campagne had waargenomen die een kwaadaardige PDF verspreidde die vermomd was als een functiebeschrijving voor een ‘VP of Finance and Operations’ bij een bekende cryptobeurs.
“De schadelijke PDF liet een tweede fase malware achter die bekend staat als RustBucket. Dit is een backdoor geschreven in Rust die het uitvoeren van bestanden ondersteunt.”
Het RustBucket-implantaat is uitgerust om basissysteemgegevens te verzamelen, te communiceren met een URL die via de opdrachtregel wordt verstrekt en persistentie in te stellen met behulp van een Launch Agent die zichzelf vermomt als een ‘Safari Update’ om contact te maken met een hardgecodeerd command-and-control (C2)-domein.
Noord-Korea’s aanvallen op Web3-organisaties gaan verder dan social engineering en omvatten ook aanvallen op de softwaretoeleveringsketen, zoals te zien is bij de incidenten bij 3CX en JumpCloud in de afgelopen jaren.
“Zodra ze via malware voet aan de grond krijgen, schakelen de aanvallers over op wachtwoordbeheerders om inloggegevens te stelen, voeren ze interne verkenningen uit via codeopslagplaatsen en documentatie en schakelen ze over naar de cloudhostingomgeving om hot wallet-sleutels te onthullen en uiteindelijk geld te stelen”, aldus Mandiant.
De onthulling volgt op een waarschuwing van de Amerikaanse Federal Bureau of Investigation (FBI) over Noord-Koreaanse criminelen die de cryptovaluta-industrie aanvallen met behulp van “zeer op maat gemaakte, moeilijk te detecteren social engineering-campagnes.”
Deze voortdurende inspanningen, waarbij wordt geïmiteerd dat er wervingsbureaus of personen zijn die het slachtoffer persoonlijk of indirect kent en die hem of haar een baan of investering aanbieden, worden gezien als een kanaal voor schaamteloze crypto-overvallen die zijn ontworpen om illegaal inkomen te genereren voor het kluizenaarsrijk, dat het onderwerp is geweest van internationale sancties.
Opvallende tactieken die worden gebruikt, zijn onder meer het identificeren van interessante bedrijven die zich bezighouden met cryptovaluta, het uitvoeren van uitgebreid pre-operationeel onderzoek naar hun doelwitten voordat er contact wordt opgenomen, en het verzinnen van gepersonaliseerde nepscenario’s in een poging om potentiële slachtoffers aan te spreken en de kans op succes van hun aanvallen te vergroten.
“De daders kunnen verwijzen naar persoonlijke informatie, interesses, banden, gebeurtenissen, persoonlijke relaties, professionele connecties of details waarvan een slachtoffer denkt dat ze alleen bij anderen bekend zijn”, aldus de FBI. De FBI benadrukte daarbij de pogingen om een band op te bouwen en uiteindelijk malware te verspreiden.
“Als het lukt om bidirectioneel contact te leggen, kan de eerste dader, of een ander lid van het team van de dader, veel tijd besteden aan het contact met het slachtoffer om het gevoel van legitimiteit te vergroten en vertrouwdheid en vertrouwen te creëren.”