Pohjois-Koreaan liittyvät uhkatoimijat lisäävät kyberoperaatioitaan käyttämällä hajautettuja ja vaikeasti havaittavia haittaohjelmatyökaluja, Cisco Talosin ja Google Threat Intelligence Groupin uusien havaintojen mukaan.
Kampanjoiden tavoitteena on varastaa kryptovaluuttaa, tunkeutua verkkoihin ja välttää havaitseminen kehittyneiden työpaikkahuijausten avulla.
Kehittyvät haittaohjelmatekniikat heijastavat laajenevia kykyjä
Cisco Talosin tutkijat tunnistivat Pohjois-Korean Famous Chollima -ryhmän käynnissä olevan kampanjan. Ryhmä on käyttänyt kahta täydentävää haittaohjelmaa, BeaverTail ja OtterCookie. Näitä ohjelmia, joita on perinteisesti käytetty tunnistetietojen varastamiseen ja tiedon viemiseen, on nyt kehitetty uusilla toiminnoilla ja tiiviimmällä yhteistoiminnalla.
Äskettäisessä tapauksessa, joka koski organisaatiota Sri Lankassa, hyökkääjät houkuttelivat työnhakijan asentamaan haitallista koodia, joka oli naamioitu osaksi teknistä arviointia. Vaikka organisaatio itse ei ollut suora kohde, Cisco Talosin analyytikot havaitsivat myös OtterCookieen liittyvän näppäinlokitus- ja kuvankaappaustoiminnon, mikä korostaa laajempaa riskiä henkilöille, jotka ovat mukana väärennetyissä työtarjouksissa. Tämä moduuli tallensi salaa näppäinpainalluksia ja otti työpöydän kuvia, lähettäen ne automaattisesti etäkomentopalvelimelle.
Havainto korostaa Pohjois-Koreaan liittyvien uhkaryhmien jatkuvaa kehitystä ja heidän keskittymistään sosiaalisen manipuloinnin tekniikoihin, joilla pyritään kompromettoimaan odottamattomia kohteita.
Blockchain käytetty komentoinfrastruktuurina
Googlen Threat Intelligence Group (GTIG) tunnisti Pohjois-Koreaan liittyvän toimijan, UNC5342, operaation. Ryhmä käytti uutta haittaohjelmaa nimeltä EtherHiding. Tämä työkalu piilottaa haitalliset JavaScript-payloadit julkiseen lohkoketjuun, muuttaen sen hajautetuksi komento- ja ohjausverkoksi (C2).
Käyttämällä lohkoketjua hyökkääjät voivat muuttaa haittaohjelman käyttäytymistä etänä ilman perinteisiä palvelimia. Viranomaisten alasajot vaikeutuvat huomattavasti. Lisäksi GTIG raportoi, että UNC5342 sovelsi EtherHidingia sosiaalisen manipuloinnin kampanjassa nimeltä Contagious Interview, joka oli aiemmin tunnistettu Palo Alto Networksin toimesta, mikä osoittaa Pohjois-Koreaan liittyvien uhkatoimijoiden sitkeyden.
Kohdistaminen työnhakijoihin kryptovaluutan ja datan varastamiseksi
Googlen tutkijoiden mukaan nämä kyberoperaatiot alkavat tyypillisesti väärennetyillä työpaikkailmoituksilla, jotka on suunnattu kryptovaluutta- ja kyberturvallisuusalojen ammattilaisille. Uhrit kutsutaan osallistumaan väärennettyihin arviointeihin, joiden aikana heitä ohjeistetaan lataamaan haitallista koodia sisältäviä tiedostoja.
Tartuntaprosessi sisältää usein useita haittaohjelmaperheitä, kuten JadeSnow, BeaverTail ja InvisibleFerret. Yhdessä ne mahdollistavat hyökkääjien pääsyn järjestelmiin, tunnistetietojen varastamisen ja kiristysohjelmien tehokkaan käyttöönoton. Lopulliset tavoitteet vaihtelevat vakoilusta ja taloudellisesta varkaudesta pitkäaikaiseen verkkoon tunkeutumiseen.
Cisco ja Google ovat julkaisseet kompromissin indikaattoreita (IOCs) auttaakseen organisaatioita havaitsemaan ja reagoimaan Pohjois-Koreaan liittyviin kyberuhkiin. Nämä resurssit tarjoavat teknisiä yksityiskohtia haitallisen toiminnan tunnistamiseksi ja mahdollisten tietomurtojen lieventämiseksi. Tutkijat varoittavat, että lohkoketjun ja modulaaristen haittaohjelmien integrointi todennäköisesti jatkaa maailmanlaajuisten kyberturvallisuuspuolustusten monimutkaistamista.
