Hackers της Βόρειας Κορέας αντιπροσωπεύουν το ένα τρίτο των phishing επιθέσεων που στοχεύουν τη Βραζιλία από το 2020.
“Κυβερνοεπιθέσεις υποστηριζόμενες από την κυβέρνηση της Βόρειας Κορέας έχουν στοχοποιήσει την κυβέρνηση της Βραζιλίας καθώς και τους τομείς αεροδιαστημικής, τεχνολογίας και χρηματοοικονομικών υπηρεσιών της χώρας,” ανέφεραν τα τμήματα Mandiant και Threat Analysis Group (TAG) της Google σε μια έκθεση που δημοσιεύθηκε αυτή την εβδομάδα.
Διαβάστε σχετικά: Χάκερς από τη Βόρεια Κορέα ενσωματώνουν AI στις επιθέσεις τους
«Μεταξύ των ενδιαφερόντων τους, οι εταιρείες κρυπτονομισμάτων και χρηματοοικονομικής τεχνολογίας βρίσκονται στο επίκεντρο, με τουλάχιστον τρεις συμμορίες της Βόρειας Κορέας να έχουν επιτεθεί σε βραζιλιάνικες εταιρείες του κλάδου».
Ο παράγοντας απειλών UNC4899 (γνωστός και ως Jade Sleet, PUKCHONG και TraderTraitor) κατέχει ξεχωριστή θέση μεταξύ αυτών των ομάδων απειλών. Έχει στοχεύσει επαγγελματίες του χώρου των κρυπτονομισμάτων μέσω μιας εφαρμογής Python φορτωμένης με κακόβουλο λογισμικό. Οι επιθέσεις περιλαμβάνουν την προσέγγιση των πιθανών στόχων μέσω κοινωνικών δικτύων και την αποστολή ενός φαινομενικά αθώου PDF που περιέχει προκήρυξη θέσης εργασίας σε γνωστή εταιρεία κρυπτονομισμάτων.
Εάν ο στόχος εκδηλώσει ενδιαφέρον, ο hacker ακολουθεί με την αποστολή ενός δεύτερου, ασφαλούς PDF. Αυτό περιλαμβάνει ένα ερωτηματολόγιο δεξιοτήτων και οδηγίες για την ολοκλήρωση μιας κωδικοποίησης μέσω λήψης ενός έργου από το GitHub.
«Το έργο ήταν μια τροποποιημένη (trojanized) εφαρμογή Python, προσποιούμενη ότι ανακτά τιμές κρυπτονομισμάτων, που είχε προσαρμοστεί ώστε να συνδέεται με έναν τομέα ελεγχόμενο από τους hackers για να ανακτήσει ένα δεύτερο κακόβουλο φορτίο όταν πληρούνταν συγκεκριμένες προϋποθέσεις», όπως αναφέρουν οι ερευνητές της Mandiant και της TAG.
Διαβάστε ακόμη: ΗΠΑ: Κατηγορούνται πέντε άτομα για ενίσχυση εσόδων για το πυρηνικό πρόγραμμα Βόρειας Κορέας
Δεν είναι η πρώτη φορά που το UNC4899 – το οποίο εμπλέκεται και στην επίθεση στο JumpCloud το 2023 – χρησιμοποιεί αυτή την προσέγγιση. Τον Ιούλιο του 2023, το GitHub προειδοποίησε για μια επίθεση κοινωνικής μηχανικής (social engineering) που στόχευε να ξεγελάσει υπαλλήλους εταιρειών blockchain, κρυπτονομισμάτων, διαδικτυακών τυχερών παιχνιδιών και ασφάλειας στον κυβερνοχώρο ώστε να εκτελέσουν κώδικα από αποθετήριο GitHub χρησιμοποιώντας ψεύτικα πακέτα npm.
Οι καμπάνιες κοινωνικής μηχανικής με θεματολογία την εργασία αποτελούν επαναλαμβανόμενο μοτίβο μεταξύ των βορειοκορεατικών ομάδων χάκερ. Ο τεχνολογικός γίγαντας εντόπισε πρόσφατα μια καμπάνια από την ομάδα PAEKTUSAN, η οποία διέθετε κακόβουλο λογισμικό C++ με την ονομασία AGAMEMNON μέσω συνημμένων Microsoft Word σε phishing email.
Σε ένα παράδειγμα, η PAEKTUSAN δημιούργησε ψεύτικο λογαριασμό HR manager σε βραζιλιάνικη αεροδιαστημική εταιρεία και τον χρησιμοποίησε για να στείλει phishing emails σε υπαλλήλους άλλης βραζιλιάνικης αεροδιαστημικής εταιρείας. Οι ερευνητές σημειώνουν ότι αυτές οι εκστρατείες ευθυγραμμίζονται με τη μακροχρόνια δραστηριότητα γνωστή ως Operation Dream Job.
Σε άλλη καμπάνια, η PAEKTUSAN μεταμφιέστηκε σε στρατιωτικό μεγάλης αμερικανικής αεροδιαστημικής εταιρείας, προσεγγίζοντας επαγγελματίες στη Βραζιλία και άλλες περιοχές μέσω email και social media για ψεύτικες ευκαιρίες εργασίας.
Δείτε περισσότερα: FBI: Νέα απάτη crypto μέσω ψεύτικων αγγελιών εργασίας
Η Google ανέφερε επίσης ότι μπλόκαρε τις προσπάθειες μιας άλλης βορειοκορεάτικης ομάδας με το όνομα PRONTO να στοχεύσει διπλωμάτες, χρησιμοποιώντας δόλωματα, για να τους παρασύρουν σε σελίδες συλλογής διαπιστευτηρίων ή να τους πείσουν να δώσουν τα στοιχεία σύνδεσής τους για να δουν ένα ψεύτικο PDF έγγραφο.
Αυτές οι εξελίξεις έρχονται λίγες εβδομάδες μετά την αποκάλυψη από τη Microsoft ενός προηγουμένως ατεκμηρίωτου παράγοντα απειλής από τη Βόρεια Κορέα, με την κωδική ονομασία Moonstone Sleet. Αυτός ο παράγοντας στοχεύει άτομα και οργανισμούς στους τομείς του λογισμικού, της τεχνολογίας πληροφοριών, της εκπαίδευσης και της αμυντικής βιομηχανίας μέσω επιθέσεων ransomware και κυβερνοκατασκοπείας.
Οι τακτικές του Moonstone Sleet περιλαμβάνουν τη διανομή κακόβουλου λογισμικού μέσω ψεύτικων πακέτων npm που δημοσιεύονται στο μητρώο npm, παρόμοια με τις πρακτικές του UNC4899. Τα πακέτα αυτά διαφέρουν σε στυλ και δομές κώδικα.
«Τα πακέτα του Jade Sleet, που ανακαλύφθηκαν το καλοκαίρι του 2023, ήταν σχεδιασμένα να λειτουργούν σε ζευγάρια, με κάθε ζευγάρι να δημοσιεύεται από έναν ξεχωριστό λογαριασμό χρήστη npm για να διανέμουν την κακόβουλη ενέργειά τους», δήλωσαν οι ερευνητές του Checkmarx, Tzachi Zornstein και Yehuda Gelb. Αντίθετα, τα πακέτα που δημοσιεύτηκαν στα τέλη του 2023 και αρχές του 2024 υιοθέτησαν μια πιο βελτιωμένη προσέγγιση, εκτελώντας το ωφέλιμο φορτίο τους αμέσως μετά την εγκατάσταση. Κατά το δεύτερο τρίμηνο του 2024, αυτά τα πακέτα έγιναν πιο περίπλοκα, με τους εισβολείς να προσθέτουν συσκότιση και να στοχεύουν συστήματα Linux.
Παρά τις διαφορές, αυτή η στρατηγική καταχράται την εμπιστοσύνη των χρηστών σε αποθετήρια ανοιχτού κώδικα, επιτρέποντας στους παράγοντες απειλής να προσεγγίσουν ένα ευρύτερο κοινό, αυξάνοντας την πιθανότητα εγκατάστασης κακόβουλων πακέτων από ανυποψίαστους προγραμματιστές.
Δείτε επίσης: Εργαζόμενοι της Βόρειας Κορέας διεισδύουν σε δίκτυα IT Freelance για κλοπή δεδομένων
Η αποκάλυψη αυτή είναι σημαντική, καθώς σηματοδοτεί την επέκταση του μηχανισμού διανομής κακόβουλου λογισμικού Moonstone Sleet, ο οποίος προηγουμένως βασιζόταν στη διάδοση ψεύτικων πακέτων npm μέσω LinkedIn και ιστοσελίδων freelancer.
Τα ευρήματα συνδέονται επίσης με την ανακάλυψη μιας νέας εκστρατείας κοινωνικής μηχανικής από την ομάδα Kimsuky της Βόρειας Κορέας, η οποία υποδύθηκε το πρακτορείο ειδήσεων Reuters για να στοχεύσει Βορειοκορεάτες ακτιβιστές ανθρωπίνων δικαιωμάτων, διανέμοντας κακόβουλο λογισμικό κλοπής πληροφοριών υπό το πρόσχημα αιτήματος συνέντευξης, σύμφωνα με το Genians.
Πηγή: thehackernews
