Noord-Koreaanse hackers richten zich op cryptobedrijven met verborgen risico-malware op macOS

Er is waargenomen dat een bedreigingsacteur met banden met de Democratische Volksrepubliek Korea (DPRK) zich richt op cryptocurrency-gerelateerde bedrijven met een meerfasige malware die Apple macOS-apparaten kan infecteren.

Cybersecuritybedrijf SentinelOne, dat de campagne noemde Verborgen risicoschreef het met veel vertrouwen toe aan BlueNoroff, dat eerder in verband werd gebracht met malwarefamilies zoals RustBucket, KANDYKORN, ObjCSellz, RustDoor (ook bekend als Thiefbucket) en TodoSwift.

De activiteit “maakt gebruik van e-mails die nepnieuws over cryptocurrency-trends verspreiden om doelen te infecteren via een kwaadaardige applicatie vermomd als een pdf-bestand”, zeiden onderzoekers Raffaele Sabato, Phil Stokes en Tom Hegel in een rapport gedeeld met The Hacker News.

“De campagne begon waarschijnlijk al in juli 2024 en maakt gebruik van e-mail- en pdf-lokmiddelen met nepnieuwskoppen of verhalen over crypto-gerelateerde onderwerpen.”

Zoals onthuld door het Amerikaanse Federal Bureau of Investigation (FBI) in een advies van september 2024, maken deze campagnes deel uit van ‘zeer op maat gemaakte, moeilijk te detecteren social engineering’-aanvallen gericht op werknemers die werkzaam zijn in de gedecentraliseerde financiële (DeFi) en cryptocurrency-sectoren. .

De aanvallen nemen de vorm aan van nep-banen of bedrijfsinvesteringen, waarbij ze gedurende langere tijd hun doelwitten aanvallen om vertrouwen op te bouwen voordat ze malware afleveren.

SentinelOne zei dat het eind oktober 2024 een e-mailphishing-poging op een crypto-gerelateerde industrie had waargenomen die een dropper-applicatie opleverde die een PDF-bestand nabootste (“Hidden Risk Behind New Surge of Bitcoin Price.app”) gehost op delphidigital(.)org.

De applicatie, geschreven in de programmeertaal Swift, is op 19 oktober 2024 ondertekend en notarieel bekrachtigd met de Apple-ontwikkelaar-ID “Avantis Regtech Private Limited (2S8XHJ7948).” De handtekening is inmiddels ingetrokken door de iPhone-maker.

Bij het starten downloadt de applicatie een lok-PDF-bestand dat is opgehaald uit Google Drive en toont het aan het slachtoffer, terwijl het heimelijk een uitvoerbaar bestand uit de tweede fase ophaalt van een externe server en dit uitvoert. Een Mach-O x86-64 uitvoerbaar bestand, het op C++ gebaseerde, niet-ondertekende binaire bestand fungeert als een achterdeur om opdrachten op afstand uit te voeren.

De achterdeur bevat ook een nieuw persistentiemechanisme dat misbruik maakt van het zshenv-configuratiebestand, wat de eerste keer is dat de techniek in het wild door malware-auteurs wordt misbruikt.

“Het heeft een bijzondere waarde op moderne versies van macOS sinds Apple vanaf macOS 13 Ventura gebruikersmeldingen introduceerde voor inlogitems op de achtergrond”, aldus de onderzoekers.

“De melding van Apple is bedoeld om gebruikers te waarschuwen wanneer een persistentiemethode is geïnstalleerd, met name de vaak misbruikte LaunchAgents en LaunchDaemons. Misbruik van Zshenv veroorzaakt echter niet zo’n melding in de huidige versies van macOS.”

Er is ook waargenomen dat de bedreigingsacteur domeinregistreerder Namecheap gebruikt om een ​​infrastructuur op te zetten die is gecentreerd rond thema’s gerelateerd aan cryptocurrency, Web3 en investeringen om deze een laagje legitimiteit te geven. Quickpacket, Routerhosting en Hostwinds behoren tot de meest gebruikte hostingproviders.

Het is vermeldenswaard dat de aanvalsketen een zekere mate van overlap vertoont met een eerdere campagne die Kandji in augustus 2024 benadrukte, waarbij ook gebruik werd gemaakt van een gelijknamige macOS-dropper-app “Risicofactoren voor Bitcoin’s prijsdaling zijn in opkomst (2024).app” om TodoSwift in te zetten. .

Het is niet duidelijk wat de dreigingsactoren ertoe heeft aangezet hun tactieken te veranderen, en of dit een reactie is op publieke berichtgeving. “Noord-Koreaanse actoren staan ​​bekend om hun creativiteit, aanpassingsvermogen en bewustzijn van rapporten over hun activiteiten, dus het is heel goed mogelijk dat we eenvoudigweg verschillende succesvolle methoden zien voortkomen uit hun offensieve cyberprogramma”, vertelde Stokes aan The Hacker News.

Een ander zorgwekkend aspect van de campagne is het vermogen van BlueNoroff om geldige Apple-ontwikkelaarsaccounts te verwerven of te kapen en deze te gebruiken om hun malware door Apple te laten notariëren.

“De afgelopen twaalf maanden hebben Noord-Koreaanse cyberactoren zich beziggehouden met een reeks campagnes tegen crypto-gerelateerde industrieën, waarvan vele gepaard gingen met uitgebreide ‘grooming’ van doelwitten via sociale media”, aldus de onderzoekers.

“De Hidden Risk-campagne wijkt af van deze strategie en hanteert een meer traditionele en ruwere, maar niet noodzakelijkerwijs minder effectieve, e-mailphishing-aanpak. Ondanks de botheid van de aanvankelijke infectiemethode zijn andere kenmerken van eerdere door de DVK gesteunde campagnes duidelijk zichtbaar.”

De ontwikkeling komt ook te midden van andere campagnes die zijn georkestreerd door Noord-Koreaanse hackers om werk te zoeken bij verschillende bedrijven in het Westen en malware te leveren met behulp van boobytraps codebases en conferentietools aan potentiële werkzoekenden onder het mom van een wervingsuitdaging of een opdracht.

De twee inbraaksets, genaamd Wagemole (ook bekend als UNC5267) en Contagious Interview, zijn toegeschreven aan een dreigingsgroep die wordt gevolgd als Famous Chollima (ook bekend als CL-STA-0240 en Tenacious Pungsan).

ESET, dat Contagious Interview de bijnaam DeceptiveDevelopment heeft gegeven, heeft het geclassificeerd als een nieuw activiteitencluster van de Lazarus Group dat zich richt op freelance ontwikkelaars over de hele wereld met als doel diefstal van cryptocurrency.

“De Contagious Interview- en Wagemol-campagnes laten de evoluerende tactieken zien van Noord-Koreaanse dreigingsactoren terwijl ze doorgaan met het stelen van gegevens, het binnenhalen van banen op afstand in westerse landen en het omzeilen van financiële sancties”, zei Zscaler ThreatLabz-onderzoeker Seongsu Park eerder deze week.

“Met verfijnde verduisteringstechnieken, compatibiliteit met meerdere platforms en wijdverbreide gegevensdiefstal vormen deze campagnes een groeiende bedreiging voor zowel bedrijven als individuen.”

Thijs Van der Does