Bedreigingsactoren met banden met de Democratische Volksrepubliek Korea (DVK) doen zich voor als Amerikaanse software- en technologieadviesbedrijven om hun financiële doelstellingen te bevorderen als onderdeel van een breder werknemersprogramma op het gebied van informatietechnologie (IT).
“Frontbedrijven, vaak gevestigd in China, Rusland, Zuidoost-Azië en Afrika, spelen een sleutelrol bij het maskeren van de ware afkomst van de werknemers en het beheren van betalingen”, aldus SentinelOne-beveiligingsonderzoekers Tom Hegel en Dakota Cary in een rapport gedeeld met The Hacker News. .
Het Noord-Koreaanse netwerk van IT-medewerkers, zowel in individuele hoedanigheid als onder de dekmantel van dekmantelbedrijven, wordt gezien als een techniek om de internationale sancties die aan het land zijn opgelegd te omzeilen en illegale inkomsten te genereren.
De mondiale campagne, die door Palo Alto Networks Unit 42 ook als Wagemole wordt gevolgd, houdt in dat valse identiteiten worden gebruikt om werk te krijgen bij verschillende bedrijven in de VS en elders, en een groot deel van hun loon terug te sturen naar het Hermit Kingdom in een poging om zijn programma’s voor massavernietigingswapens (WMD) en ballistische raketten te financieren.
In oktober 2023 zei de Amerikaanse regering dat ze 17 websites in beslag had genomen die zich voordeden als in de VS gevestigde IT-dienstverleners om bedrijven in binnen- en buitenland te bedriegen door IT-medewerkers toe te staan hun ware identiteit en locatie te verbergen wanneer ze online solliciteren om op afstand te werken. de wereld.
De IT-medewerkers bleken te werken voor twee bedrijven in China en Rusland, namelijk Yanbian Silverstar Network Technology Co. Ltd. en Volasys Silver Star.
“Deze IT-medewerkers sluisden de inkomsten uit hun frauduleuze IT-werk terug naar de DVK via het gebruik van online betalingsdiensten en Chinese bankrekeningen”, merkte het Amerikaanse ministerie van Justitie destijds op.
SentinelOne, dat vier nieuwe Noord-Koreaanse IT Worker-frontbedrijven analyseerde, zei dat ze allemaal geregistreerd waren via NameCheap en beweerden ontwikkelingsoutsourcing-, advies- en softwarebedrijven te zijn, terwijl ze hun inhoud kopieerden van legitieme bedrijven –
- Independent Lab LLC (inditechlab(.)com), dat zijn website-indeling heeft gekopieerd van een in de VS gevestigd bedrijf genaamd Kitrum
- Shenyang Tonywang Technology L TD (tonywangtech(.)com), dat het websiteformaat kopieerde van een in de VS gevestigd bedrijf genaamd Urolime
- Tony WKJ LLC (wkjllc(.)com), dat het websiteformaat heeft gekopieerd van een in India gevestigd bedrijf genaamd ArohaTech IT Services
- HopanaTech (hopanatech(.)com), dat het websiteformaat kopieerde van een in de VS gevestigd bedrijf genaamd ITechArt
Hoewel alle bovengenoemde sites sindsdien op 10 oktober 2024 door de Amerikaanse overheid in beslag zijn genomen, zei SentinelOne dat het ze terugvoerde naar een breder, actief netwerk van frontbedrijven afkomstig uit China.
Bovendien identificeerde het een ander bedrijf genaamd Shenyang Huguo Technology Ltd (huguotechltd(.)com) dat soortgelijke kenmerken vertoonde, waaronder het gebruik van gekopieerde inhoud en logo’s van een ander Indiaas softwarebedrijf TatvaSoft. Het domein is in oktober 2023 geregistreerd via NameCheap.
“Deze tactieken benadrukken een doelbewuste en evoluerende strategie die de mondiale digitale economie gebruikt om staatsactiviteiten te financieren, waaronder de ontwikkeling van wapens”, aldus de onderzoekers.
“Organisaties worden aangespoord om robuuste controleprocessen te implementeren, inclusief zorgvuldig onderzoek van potentiële contractanten en leveranciers, om de risico’s te beperken en onbedoelde steun aan dergelijke illegale activiteiten te voorkomen.”
De onthulling volgt op bevindingen van Unit 42 dat een Noord-Koreaans IT-werknemersactiviteitencluster dat CL-STA-0237 wordt genoemd “betrokken was bij recente phishing-aanvallen met behulp van met malware geïnfecteerde videoconferentie-apps” om de BeaverTail-malware af te leveren, wat wijst op verbindingen tussen Wagemole en een andere inbraak. bekend als Contagious Interview.
“CL-STA-0237 exploiteerde een in de VS gevestigd IT-dienstenbedrijf voor kleine en middelgrote bedrijven (MKB) om te solliciteren naar andere banen”, aldus het bedrijf. “In 2022 kreeg CL-STA-0237 een baan bij een groot technologiebedrijf.”
Hoewel de exacte aard van de relatie tussen de bedreigingsacteur en het uitgebuite bedrijf onduidelijk is, wordt aangenomen dat CL-STA-0237 de inloggegevens van het bedrijf heeft gestolen of is ingehuurd als externe medewerker, en zich nu voordoet als het bedrijf om IT-banen veilig te stellen en potentiële werkzoekenden targeten met malware onder het voorwendsel van het afnemen van een sollicitatiegesprek.
“Noord-Koreaanse dreigingsactoren zijn zeer succesvol geweest in het genereren van inkomsten om de illegale activiteiten van hun land te financieren”, zei Unit 42, erop wijzend dat het cluster waarschijnlijk vanuit Laos opereert.
“Ze begonnen zich voor te doen als nep-IT-medewerkers om consistente inkomstenstromen veilig te stellen, maar ze zijn begonnen over te stappen naar agressievere rollen, waaronder deelname aan insiderbedreigingen en malware-aanvallen.”