Cybersecurity-onderzoekers blijven waarschuwen voor pogingen van Noord-Koreaanse cybercriminelen om potentiële slachtoffers op LinkedIn te targeten en malware met de naam RustDoor te verspreiden.
Het meest recente bericht komt van Jamf Threat Labs. Volgens hen is er een aanvalspoging ontdekt waarbij een gebruiker op het professionele sociale netwerk werd benaderd door zich voor te doen als recruiter voor een legitieme gedecentraliseerde cryptocurrency-beurs (DEX) genaamd STON.fi.
De kwaadaardige cyberactiviteit maakt deel uit van een meervoudige campagne die cybercriminelen met steun van de Democratische Volksrepubliek Korea (DPRK) ontketenen om netwerken van belanghebbenden te infiltreren onder het voorwendsel van het uitvoeren van interviews of codeeropdrachten.
De financiële sector en de cryptovalutasector behoren tot de belangrijkste doelwitten van door de staat gesponsorde tegenstanders die proberen illegale inkomsten te genereren en een steeds veranderende reeks doelstellingen te behalen op basis van de belangen van het regime.
Deze aanvallen manifesteren zich in de vorm van “zeer op maat gemaakte, moeilijk te detecteren social engineering-campagnes” die gericht zijn op werknemers van decentrale financiële instellingen (“DeFi”), cryptovaluta en vergelijkbare bedrijven, zoals onlangs werd benadrukt door de Amerikaanse Federal Bureau of Investigation (FBI) in een advies.
Een van de opvallende indicatoren van Noord-Koreaanse social engineering-activiteiten heeft betrekking op verzoeken om code uit te voeren of applicaties te downloaden op apparaten die eigendom zijn van het bedrijf of op apparaten die toegang hebben tot het interne netwerk van een bedrijf.
Een ander aspect dat het vermelden waard is, is dat dergelijke aanvallen ook ‘verzoeken omvatten om een ’pre-employment test’ of debugging-oefening uit te voeren waarbij niet-standaard of onbekende Node.js-pakketten, PyPI-pakketten, scripts of GitHub-repositories worden uitgevoerd.’
Er zijn de afgelopen weken veel voorbeelden van dergelijke tactieken gedocumenteerd, wat de voortdurende evolutie van de middelen die in deze campagnes tegen doelwitten worden gebruikt, onderstreept.
De laatste aanvalsketen die Jamf heeft gedetecteerd, bestaat uit het misleiden van het slachtoffer om een Visual Studio-project met boobytraps te downloaden als onderdeel van een zogenaamde codeeruitdaging. Hierin zijn bash-opdrachten opgenomen om twee verschillende payloads voor de tweede fase (“VisualStudioHelper” en “zsh_env”) met identieke functionaliteit te downloaden.
Deze fase twee malware is RustDoor, die het bedrijf volgt als Thiefbucket. Op het moment van schrijven heeft geen van de anti-malware engines het gezipte codeertestbestand gemarkeerd als kwaadaardig. Het werd geüpload naar het VirusTotal-platform op 7 augustus 2024.
“De configuratiebestanden die in de twee afzonderlijke malware-voorbeelden zijn opgenomen, laten zien dat de VisualStudioHelper via cron blijft bestaan, terwijl zsh_env via het zshrc-bestand blijft bestaan”, aldus onderzoekers Jaron Bradley en Ferdous Saljooki.
RustDoor, een macOS-backdoor, werd voor het eerst gedocumenteerd door Bitdefender in februari 2024 in verband met een malwarecampagne gericht op cryptovalutabedrijven. Een daaropvolgende analyse door S2W onthulde een Golang-variant genaamd GateDoor die bedoeld is om Windows-machines te infecteren.
De bevindingen van Jamf zijn belangrijk, niet alleen omdat het de eerste keer is dat de malware formeel aan Noord-Koreaanse cybercriminelen wordt toegeschreven, maar ook omdat de malware is geschreven in Objective-C.
VisualStudioHelper is ook ontworpen om als informatiedief te fungeren door bestanden te verzamelen die in de configuratie zijn opgegeven, maar alleen nadat de gebruiker is gevraagd om het systeemwachtwoord in te voeren. Dit wachtwoord wordt gemaskeerd alsof het afkomstig is van de Visual Studio-app, om argwaan te voorkomen.
Beide payloads functioneren echter als een achterdeur en gebruiken twee verschillende servers voor command-and-control (C2)-communicatie.
“Dreigingsactoren blijven waakzaam om nieuwe manieren te vinden om degenen in de crypto-industrie te achtervolgen”, aldus de onderzoekers. “Het is belangrijk om uw werknemers, inclusief uw ontwikkelaars, te trainen om terughoudend te zijn met het vertrouwen van degenen die verbinding maken op sociale media en gebruikers vragen om software van welk type dan ook te draaien.
“Deze social engineering-plannen die de Democratische Volksrepubliek Korea uitvoert, worden uitgevoerd door mensen die goed Engels spreken en die het gesprek aangaan nadat ze hun doelwit grondig hebben onderzocht.”