脅威データベース マルウェア COVERTCATCH マルウェア

COVERTCATCH マルウェア

北朝鮮の脅威アクターが LinkedIn を悪用し、偽の求人スキームを通じて開発者をターゲットにしていることが判明しました。主な手口は、最初の感染方法としてコーディング テストを使用することです。ターゲットとチャットした後、攻撃者は Python コーディング チャレンジを装った ZIP ファイルを送信しますが、実際にはこのファイルには COVERTCATCH マルウェアが含まれています。このマルウェアが実行されると、ターゲットの macOS システムへの攻撃が開始され、Launch Agents と Launch Daemons を使用して第 2 段階のペイロードをダウンロードし、持続性を確立します。

北朝鮮は依然としてサイバー犯罪の主要国

しかし、これは、北朝鮮のハッカー集団が仕事に関連した誘い文句を使ってマルウェアを拡散する「オペレーション・ドリーム・ジョブ」や「伝染面接」などのさまざまな活動群のうちのほんの一例に過ぎません。

採用をテーマにした戦術は、 RustBucketKANDYKORNなどのマルウェア ファミリを展開するためにもよく使用されています。現時点では、 COVERTCATCH がこれらと関連しているのか、それとも新たに発見されたTodoSwiftと関連しているのかは不明です。

研究者らは、大手暗号通貨取引所の「財務および運用担当副社長」の職務記述書を装った破損した PDF によるソーシャル エンジニアリング キャンペーンを特定しました。この PDF は、ファイル実行をサポートする Rust ベースのバックドアである RustBucket と呼ばれる第 2 段階のマルウェアをドロップしました。

RustBucket インプラントは、基本的なシステム情報を収集し、指定された URL と通信し、「Safari Update」を装った Launch Agent を通じて永続性を確立し、ハードコードされたコマンド アンド コントロール (C2) ドメインに接続することができます。

北朝鮮のハッカー集団は進化を続ける

北朝鮮の Web3 組織への狙いは、ソーシャル エンジニアリングにとどまらず、3CX と JumpCloud が関与した最近の事件で明らかになったように、ソフトウェア サプライ チェーン攻撃にまで及びます。攻撃者はマルウェアを介してアクセスを確立すると、パスワード マネージャーに移動して認証情報を収集し、コード リポジトリとドキュメントを通じて内部偵察を行い、クラウド ホスティング環境に侵入してホット ウォレット キーを発見し、最終的に資金を流出させます。

この暴露は、北朝鮮の脅威アクターが、高度に専門化され検出が困難なソーシャルエンジニアリングキャンペーンで暗号通貨業界を標的にしているという米国連邦捜査局(FBI)の警告と併せて発表された。

こうした継続的な取り組みには、採用会社や身近な人物になりすまして雇用や投資の機会を提供する行為が含まれることが多い。こうした戦術は、依然として国際制裁下にある北朝鮮に不法な収入をもたらすことを目的とした大胆な仮想通貨強盗への入り口となっている。

脅威アクターはターゲットを感染させるためにパーソナライズされた戦術を使用する

これらの攻撃者が使用する主な戦術は次のとおりです。

  • 暗号通貨関連のビジネスをターゲットにしています。
  • 接触する前に、被害者に対して徹底的な事前調査を実施します。
  • 成功の可能性を高めるために、高度にパーソナライズされた偽のシナリオを作成します。

興味、所属、イベント、人間関係、職業上のつながりなど、被害者が少数の人しか知らないと思うような個人情報に言及することがあります。このアプローチは、信頼関係を構築し、最終的にマルウェアを配信するように設計されています。

コミュニケーションを確立することに成功した場合、最初の犯人または他のチームメンバーは、正当性の印象を高め、親しみと信頼感を育むために、被害者とのやり取りにかなりの時間を費やす可能性があります。

トレンド

最も見られました

読み込んでいます...