Cisco Talos raportoi, että pohjoiskorealainen hakkeriryhmä nimeltä “Famous Chollima” on kohdentanut hyökkäyksiä kryptovaluutta-alan työnhakijoihin Intiassa. Tällä ryhmällä ei näytä olevan suoraa yhteyttä Lazarukseen.
Tällä hetkellä on vaikea arvioida, olivatko nämä toimet pikkurikoksia vai alustavaa pohjatyötä suuremmille hyökkäyksille. Kryptovaluutta-alan työnhakijoiden tulisi olla varovaisia jatkossa.
Pohjois-Korean kryptovaluutta-hakkeroinnit jatkuvat
Pohjois-Korean Lazarus-ryhmällä on pelottava maine kryptorikollisuudessa, ja se on toteuttanut alan historian suurimman hakkeroinnin. Se ei kuitenkaan ole maan ainoa Web3-rikollisyritys, sillä Pohjois-Korealla on suuri läsnäolo DeFi-sektorilla.
Cisco Talos tunnisti joitakin viimeaikaisia rikollisia toimia Intiassa, jotka lähestyvät kryptovarkauksia eri tavalla:
Raporttien mukaan Famous Chollima ei ole uusi; se on toiminut vuodesta 2024 tai aiemmin. Useissa viimeaikaisissa tapauksissa pohjoiskorealaiset hakkerit ovat yrittäneet soluttautua Yhdysvalloissa sijaitseviin kryptoyrityksiin kuten Kraken hakemalla avoimia työpaikkoja.
Famous Chollima teki päinvastoin, houkutellen potentiaalisia työntekijöitä tekaistuilla hakemuksilla.
“Nämä kampanjat sisältävät… tekaistujen työpaikkailmoitusten ja taitotestien luomista. Jälkimmäisessä käyttäjiä ohjeistetaan kopioimaan ja liittämään haitallinen komentorivi, jotta he voivat asentaa ajurit, jotka ovat tarpeen viimeisen taitotestin suorittamiseksi. [Vaikuttaneet käyttäjät ovat] pääasiassa Intiassa,” yritys väitti.
Lazaruksen pelottavan maineen rinnalla Famous Cholliman phishing-yritykset vaikuttavat paljon kömpelömmiltä. Cisco väitti, että ryhmän tekaistut hakemukset jäljittelivät aina tunnettuja kryptoyrityksiä.
Nämä houkutukset eivät käyttäneet oikeiden yritysten todellista brändäystä, ja kysymykset olivat tuskin relevantteja väitettyihin työpaikkoihin nähden.
Nielaista syötti
Uhrit houkutellaan tekaistujen rekrytointisivustojen kautta, jotka esiintyvät tunnettuina teknologia- tai kryptoyrityksinä. Hakemusten täyttämisen jälkeen heidät kutsutaan videohaastatteluun.
Tämän prosessin aikana sivusto pyytää heitä suorittamaan komentoriviohjeita, joiden väitetään olevan videon ajureiden asentamista varten, mutta jotka todellisuudessa lataavat ja asentavat haittaohjelmia.
Kun ohjelma on asennettu, PylangGhost antaa hyökkääjille täyden hallinnan uhrin järjestelmään. Se varastaa kirjautumistiedot, selaindatan ja kryptolompakon tiedot, kohdistuen yli 80 suosittuun laajennukseen kuten MetaMask, Phantom ja 1Password.
Äskettäin, estettyään haittaohjelmahyökkäyksen, BitMEX väitti, että Lazarus käyttää vähintään kahta tiimiä: vähäisen taitotason tiimiä aluksi murtamaan turvallisuusprotokollat ja korkean taitotason tiimiä suorittamaan myöhemmät varkaudet. Ehkä tämä on yleinen käytäntö Pohjois-Korean hakkeriyhteisössä.
Valitettavasti on vaikea tehdä mitään varmoja johtopäätöksiä ilman spekulointia. Haluavatko pohjoiskorealaiset hakkeroida näitä hakijoita esittäytyäkseen paremmin kryptoteollisuuden työnhakijoina?
Käyttäjien tulisi olla varovaisia odottamattomien työtarjousten suhteen, välttää tuntemattomien komentojen suorittamista ja suojata järjestelmänsä päätepisteiden suojauksella, MFA:lla ja selainlaajennusten valvonnalla.
Varmista aina rekrytointisivustojen laillisuus ennen kuin jaat mitään arkaluonteisia tietoja.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
