Hakeri povezani sa Sjevernom Korejom čine jednu trećinu svih aktivnosti krađe identiteta usmjerenih na Brazil od 2020. godine, budući da je pojava ove zemlje kao utjecajne sile privukla pažnju grupa za cyber špijunažu.
“Učesnici koje podržava vlada Sjeverne Koreje ciljali su brazilsku vladu i brazilski sektor vazduhoplovstva, tehnologije i finansijskih usluga”, rekli su Google-ovi odjeli Mandiant i Threat Analysis Group (TAG) u zajedničkom izvještaju koji je objavljen ove sedmice.
„Slično njihovim ciljanim interesima u drugim regijama, kompanije za kriptovalute i financijsku tehnologiju bile su u posebnom fokusu, a najmanje tri sjevernokorejske grupe ciljale su brazilske kriptovalute i fintech kompanije.“
Istaknuti među tim grupama je haker praćen kao UNC4899 (aka Jade Sleet, PUKCHONG i TraderTraitor), koji je ciljao profesionalce za kriptovalute sa trojaniziranom Python aplikacijom sa zlonamjernim softverom.
Lanci napada uključuju dosezanje potencijalnih meta putem društvenih medija i slanje dobroćudnog PDF dokumenta koji sadrži opis posla za navodnu priliku za posao u poznatoj firmi za kriptovalute.
Ako cilj izrazi interesovanje za ponudu za posao, haker to prati slanjem drugog bezopasnog PDF dokumenta sa upitnikom o vještinama i uputama za završetak zadatka kodiranja preuzimanjem projekta sa GitHuba.
“Projekat je bila trojanizirana Python aplikacija za dohvaćanje cijena kriptovalute koja je modificirana kako bi se doprijela do domene koju kontrolišu napadači kako bi se dohvatila druga faza korisnog opterećenja ako su ispunjeni specifični uvjeti”, rekli su istraživači Mandiant i TAG.
Ovo nije prvi put da je UNC4899, koji je pripisan haku za JumpCloud 2023, koristio ovaj pristup. U julu 2023. GitHub je upozorio na napad socijalnog inženjeringa koji je pokušavao da prevari zaposlenike koji rade u blockchain-u, kriptovalutama, online kockanju i cyber-sigurnosnim kompanijama da izvrše kod koji se nalazi u GitHub fajlu koristeći lažne npm pakete.
Kampanje društvenog inženjeringa sa temom posla su tema koja se ponavlja među sjevernokorejskim hakerskim grupama, pri čemu je tehnološki gigant takođe uočio kampanju koju je orkestrirala grupa koju prati kao PAEKTUSAN za isporuku zlonamjernog softvera za preuzimanje C++ koji se naziva AGAMEMNON preko Microsoft Word attachments ugrađenih u phishing e-poruke .
“U jednom primjeru, PAEKTUSAN je kreirao račun koji je imitirao HR direktora u brazilskoj avio-kompaniji i koristio ga za slanje e-pošte za krađu identiteta zaposlenima u drugoj brazilskoj avio-kompaniji”, napomenuli su istraživači, dodajući da su kampanje u skladu sa dugotrajnom aktivnošću. prati se kao Operacija Dream Job.
“U zasebnoj kampanji, PAEKTUSAN se maskirao kao regruter u velikoj američkoj avio-kompaniji i došao do profesionalaca u Brazilu i drugim regijama putem e-pošte i društvenih medija o potencijalnim mogućnostima za posao.”
Google je dalje rekao da je blokirao pokušaje druge sjevernokorejske grupe nazvane PRONTO da cilja diplomate mamcima vezanim za denuklearizaciju i vijesti kako bi ih prevarila da posjete stranice za prikupljanje akreditiva ili da daju svoje podatke za prijavu kako bi pregledali navodni PDF dokument.
Razvoj dolazi nekoliko sedmica nakon što je Microsoft bacio svjetlo na prethodno nedokumentovanog hakera sjevernokorejskog porijekla, kodnog imena Moonstone Sleet, koji je izdvojio pojedince i organizacije u sektorima softvera i informacionih tehnologija, obrazovanja i odbrambene industrijske baze kako sa ransomware-om tako i sa napadima špijunaže. .
Među zapaženim taktikama Moonstone Sleeta je distribucija zlonamjernog softvera putem krivotvorenih npm paketa objavljenih u npm registru, što odražava onu iz UNC4899. Rečeno je da paketi povezani sa dva klastera nose različite stilove koda i strukture.
„Paketi Jade Sleeta, otkriveni tokom ljeta 2023., dizajnirani su da rade u parovima, pri čemu je svaki par objavljen od strane zasebnog npm korisničkog naloga kako bi distribuirao njihovu zlonamjernu funkcionalnost“, rekli su istraživači Checkmarxa Tzachi Zornstein i Yehuda Gelb.
“Prema tome, paketi objavljeni krajem 2023. i početkom 2024. usvojili su moderniji pristup jednog paketa koji bi izvršio svoj teret odmah po instalaciji. U drugom kvartalu 2024. godine, paketi su postali složeniji, a napadači su dodavali zamračenje i cilja i na Linux sisteme.”
Bez obzira na razlike, ova taktika zloupotrebljava povjerenje korisnika u spremišta otvorenog koda, omogućavajući hakerima da dostignu širu publiku i povećavajući vjerovatnoću da bi jedan od njihovih zlonamjernih paketa nehotice instalirali programeri.
Otkrivanje je značajno, ne samo zato što označava ekspanziju Moonstone Sleetovog mehanizma za distribuciju zlonamjernog softvera, koji se ranije oslanjao na širenje lažnih npm paketa koristeći LinkedIn i web stranice slobodnih prof.
Nalazi takođe prate otkriće nove kampanje društvenog inženjeringa koju je poduzela grupa Kimsuky povezana sa Sjevernom Korejom u kojoj je glumila novinarsku agenciju Reuters kako bi ciljala sjevernokorejske aktiviste za ljudska prava da isporuče zlonamjerni softver za krađu informacija pod krinkom zahtjeva za intervju. to Genians.
Izvor:The Hacker News