Noord-Koreaanse dreigingsactoren zijn in verband gebracht met twee campagnes waarin zij zich voordoen als zowel werkzoekenden als zoekers om malware te verspreiden en ongeoorloofd werk te verkrijgen bij organisaties in de VS en andere delen van de wereld.
De activiteitenclusters hebben door Palo Alto Networks Unit 42 de codenaam Contagious Interview en Wagemole gekregen.
Terwijl de eerste reeks aanvallen tot doel heeft “softwareontwikkelaars te infecteren met malware via een fictief sollicitatiegesprek”, is de laatste bedoeld voor financieel gewin en spionage.
“Het doel van de eerste campagne is waarschijnlijk diefstal van cryptocurrency en het gebruik van gecompromitteerde doelwitten als voorbereidingsomgeving voor extra aanvallen”, aldus het cyberbeveiligingsbedrijf.
De frauduleuze activiteit bij het zoeken naar werk omvat daarentegen het gebruik van een GitHub-repository om cv’s te hosten met vervalste identiteiten die zich voordoen als personen van verschillende nationaliteiten.
De Contagious Interview-aanvallen maken de weg vrij voor twee tot nu toe ongedocumenteerde platformonafhankelijke malware genaamd BeaverTail en InvisibleFerret die op Windows-, Linux- en macOS-systemen kan draaien.
Het is vermeldenswaard dat de inbraakset tactische overlappingen vertoont met eerder gerapporteerde Noord-Koreaanse dreigingsactiviteiten genaamd Operation Dream Job, waarbij werknemers worden benaderd met potentiële vacatures en hen worden misleid om een kwaadaardig npm-pakket te downloaden dat op GitHub wordt gehost als onderdeel van een online interview.
“De bedreigingsacteur presenteert het pakket waarschijnlijk aan het slachtoffer als software om te beoordelen of te analyseren, maar het bevat in werkelijkheid kwaadaardig JavaScript dat is ontworpen om de host van het slachtoffer te infecteren met backdoor-malware”, aldus Unit 42.
BeaverTail, het JavaScript-implantaat, is een stealer en een lader die wordt geleverd met mogelijkheden om gevoelige informatie uit webbrowsers en crypto-wallets te stelen en extra payloads te leveren, waaronder InvisibleFerret, een op Python gebaseerde achterdeur met vingerafdrukken, afstandsbediening, keylogging en gegevens exfiltratie-functies.
InvisibleFerret is ook ontworpen om de AnyDesk-client te downloaden van een door een acteur bestuurde server voor externe toegang.
Eerder deze maand waarschuwde Microsoft dat het beruchte subcluster van de Lazarus Group, genaamd Sapphire Sleet (ook bekend als BlueNoroff), een nieuwe infrastructuur heeft opgezet die portalen voor het beoordelen van vaardigheden nabootst als onderdeel van zijn social engineering-campagnes.
Dit is niet de eerste keer dat Noord-Koreaanse dreigingsactoren valse modules in npm en PyPI misbruiken. Eind juni en juli 2023 hebben Phylum en GitHub een social engineering-campagne uitgewerkt die zich richtte op de persoonlijke accounts van werknemers die in technologiebedrijven werken, met als doel een namaak npm-pakket te installeren onder het mom van samenwerking aan een GitHub-project.
De aanvallen zijn toegeschreven aan een ander cluster dat bekend staat als Jade Sleet, ook wel TraderTraitor en UNC4899 genoemd, en is sindsdien betrokken bij de JumpCloud-hack die rond dezelfde tijd plaatsvond.
De ontdekking van Wagehole weerspiegelt een recent advies van de Amerikaanse regering, waarin Noord-Korea’s voorwendsel werd onthuld om de sancties te omzeilen door een leger hooggekwalificeerde IT-medewerkers te sturen die bij verschillende bedrijven wereldwijd aan de slag gaan en hun lonen terugsluizen om de wapenprogramma’s van het land te financieren.
“Sommige cv’s bevatten links naar een LinkedIn-profiel en links naar GitHub-inhoud”, aldus het cyberbeveiligingsbedrijf.
“Deze GitHub-accounts lijken goed onderhouden en hebben een lange activiteitengeschiedenis. Deze accounts duiden op frequente code-updates en socialisatie met andere ontwikkelaars. Als gevolg hiervan zijn deze GitHub-accounts bijna niet te onderscheiden van legitieme accounts.”
“We zouden 20 tot 50 nepprofielen per jaar aanmaken totdat we werden aangenomen”, zei een Noord-Koreaanse IT-medewerker die onlangs was overgelopen tegen Reuters, dat ook details van de Wagemol-campagne deelde.
De ontwikkeling komt op het moment dat Noord-Korea beweerde dat het met succes een militaire spionagesatelliet de ruimte in heeft gebracht, na twee mislukte pogingen in mei en augustus van dit jaar.
Het volgt ook op een nieuwe aanvalscampagne, georkestreerd door de met Noord-Korea verbonden Andariel-groep – een ander ondergeschikt element binnen Lazarus – om Black RAT, Lilith RAT, NukeSped en TigerRAT te leveren door kwetsbare MS-SQL-servers te infiltreren en via supply chain-aanvallen met behulp van een Zuid-Koreaanse software voor vermogensbeheer.
“Softwareontwikkelaars zijn vaak de zwakste schakel voor supply chain-aanvallen, en frauduleuze vacatures zijn een voortdurende zorg, dus we verwachten aanhoudende activiteit van Contagious Interview”, aldus Unit 42. “Bovendien biedt Wagemole een kans om insiders te integreren in de beoogde bedrijven.”
