Bedreigingsactoren die banden hebben met Noord-Korea zijn verantwoordelijk voor een derde van alle phishing-activiteiten gericht op Brazilië sinds 2020, omdat de opkomst van het land als invloedrijke macht de aandacht heeft getrokken van cyberspionagegroepen.
“Door de Noord-Koreaanse overheid gesteunde actoren hebben zich gericht op de Braziliaanse overheid en de Braziliaanse lucht- en ruimtevaart-, technologie- en financiële dienstensector”, aldus de divisies Mandiant en Threat Analysis Group (TAG) van Google in een gezamenlijk rapport dat deze week werd gepubliceerd.
“Net als hun doelgroepen in andere regio’s hebben cryptocurrency- en financiële technologiebedrijven bijzondere aandacht gehad, en ten minste drie Noord-Koreaanse groepen hebben zich gericht op Braziliaanse cryptocurrency- en fintech-bedrijven.”
Prominent onder deze groepen is een bedreigingsacteur die wordt gevolgd als UNC4899 (ook bekend als Jade Sleet, PUKCHONG en TraderTraitor), die zich op cryptocurrency-professionals heeft gericht met een met malware doorspekte, getrojaniseerde Python-app.
De aanvalsketens omvatten het bereiken van potentiële doelwitten via sociale media en het verzenden van een goedaardig PDF-document met een functiebeschrijving voor een vermeende baan bij een bekend cryptocurrency-bedrijf.
Mocht het doelwit interesse tonen in de baanaanbieding, dan volgt de bedreigingsacteur dit op door een tweede onschadelijk PDF-document te sturen met een vragenlijst over vaardigheden en instructies om een codeeropdracht te voltooien door een project van GitHub te downloaden.
“Het project was een getrojaniseerde Python-app voor het ophalen van cryptocurrency-prijzen die werd aangepast om contact te maken met een door de aanvaller gecontroleerd domein om een tweede fase-payload op te halen als aan specifieke voorwaarden werd voldaan”, aldus Mandiant- en TAG-onderzoekers.
Dit is niet de eerste keer dat UNC4899, dat wordt toegeschreven aan de JumpCloud-hack uit 2023, deze aanpak gebruikt. In juli 2023 waarschuwde GitHub voor een social engineering-aanval die tot doel had werknemers van blockchain-, cryptocurrency-, online gok- en cyberbeveiligingsbedrijven te misleiden om code uit te voeren die werd gehost in een GitHub-repository met behulp van nep-npm-pakketten.
Social engineering-campagnes met een baanthema zijn een terugkerend thema onder Noord-Koreaanse hackgroepen, waarbij de technologiegigant ook een campagne opmerkt die is georkestreerd door een groep die hij volgt als PAEKTUSAN om een C++ downloader-malware af te leveren die AGAMEMNON wordt genoemd via Microsoft Word-bijlagen die zijn ingebed in phishing-e-mails .
“In één voorbeeld maakte PAEKTUSAN een account aan dat zich voordeed als HR-directeur bij een Braziliaans lucht- en ruimtevaartbedrijf en gebruikte het om phishing-e-mails te sturen naar werknemers van een tweede Braziliaans lucht- en ruimtevaartbedrijf”, merkten de onderzoekers op, eraan toevoegend dat de campagnes consistent zijn met een langlopende activiteit. bijgehouden als Operatie Dream Job.
“In een aparte campagne deed PAEKTUSAN zich voor als recruiter bij een groot Amerikaans lucht- en ruimtevaartbedrijf en benaderde professionals in Brazilië en andere regio's via e-mail en sociale media over potentiële vacatures.”
Google zei verder dat het pogingen blokkeerde van een andere Noord-Koreaanse groep genaamd PRONTO om diplomaten te targeten met denuclearisatie- en nieuwsgerelateerde lokvogels om hen te misleiden om pagina's voor het verzamelen van inloggegevens te bezoeken of hun inloggegevens te verstrekken om een zogenaamd PDF-document te bekijken.
De ontwikkeling komt weken nadat Microsoft licht heeft geworpen op een voorheen ongedocumenteerde bedreigingsacteur van Noord-Koreaanse afkomst, met de codenaam Moonstone Sleet, die individuen en organisaties in de software- en informatietechnologie-, onderwijs- en defensie-industriesectoren heeft uitgekozen met zowel ransomware- als spionageaanvallen. .
Een van de opmerkelijke tactieken van Moonstone Sleet is de verspreiding van malware via nagemaakte npm-pakketten die zijn gepubliceerd in het npm-register, een weerspiegeling van die van UNC4899. Dit gezegd hebbende, hebben de pakketten die bij de twee clusters horen verschillende codestijlen en -structuren.
“De pakketten van Jade Sleet, ontdekt in de zomer van 2023, zijn ontworpen om in paren te werken, waarbij elk paar wordt gepubliceerd door een afzonderlijk npm-gebruikersaccount om hun kwaadaardige functionaliteit te verspreiden”, aldus Checkmarx-onderzoekers Tzachi Zornstein en Yehuda Gelb.
“De pakketten die eind 2023 en begin 2024 werden gepubliceerd, hanteerden daarentegen een meer gestroomlijnde aanpak met één pakket, waarbij de payload onmiddellijk na installatie werd uitgevoerd. In het tweede kwartaal van 2024 werden de pakketten steeds complexer, waarbij de aanvallers verduistering toevoegden en het richt zich ook op Linux-systemen.”
Ongeacht de verschillen maakt deze tactiek misbruik van het vertrouwen dat gebruikers stellen in open source-repository's, waardoor de bedreigingsactoren een breder publiek kunnen bereiken en de kans groter wordt dat een van hun kwaadaardige pakketten onbedoeld door onwetende ontwikkelaars kan worden geïnstalleerd.
De onthulling is belangrijk, niet in de laatste plaats omdat het een uitbreiding markeert van het malwaredistributiemechanisme van Moonstone Sleet, dat voorheen afhankelijk was van het verspreiden van de nep-npm-pakketten via LinkedIn en freelancerwebsites.
De bevindingen volgen ook op de ontdekking van een nieuwe social engineering-campagne ondernomen door de aan Noord-Korea gelieerde Kimsuky-groep, waarbij deze zich voordeed als persbureau Reuters om Noord-Koreaanse mensenrechtenactivisten aan te vallen om informatiestelende malware af te leveren onder het mom van een interviewverzoek. aan Geniërs.
