Severokorejští hackeři se zaměřují na brazilský fintech pomocí sofistikované phishingové taktiky

Aktéři hrozeb spojení se Severní Koreou představují jednu třetinu všech phishingových aktivit zaměřených na Brazílii od roku 2020, protože země jako vlivná mocnost přitáhla pozornost kybernetických špionážních skupin.

Severokorejskou vládou podporovaní aktéři se zaměřili na brazilskou vládu a brazilský letecký, technologický a finanční sektor,“ uvedly divize Mandiant a Threat Analysis Group (TAG) společnosti Google ve společné zveřejněné zprávě.“

„Podobně jako v jiných regionech se zaměřily zejména na kryptoměnové a finanční technologické firmy a nejméně tři severokorejské skupiny se zaměřily na brazilské kryptoměnové a fintech společnosti.“

Mezi těmito skupinami je prominentní aktér hrozeb sledovaný jako UNC4899 (alias Jade Sleet, PUCCHONG a TraderTraitor), který se zaměřil na profesionály v oblasti kryptoměn pomocí aplikace Python s trojanizovaným povrchem a malwarem.

Řetězce útoků zahrnují oslovení potenciálních cílů prostřednictvím sociálních médií a zaslání neškodného dokumentu PDF obsahujícího popis údajné pracovní příležitosti ve známé kryptoměnové firmě.

Pokud cíl vyjádří zájem o pracovní nabídku, aktér hrozby na ni naváže zasláním druhého neškodného dokumentu PDF s dotazníkem dovedností a pokyny k dokončení kódovacího úkolu stažením projektu z GitHubu.

Projekt byl trojanizovaný Python pro získávání cen kryptoměn, který byl upraven tak, aby oslovil doménu ovládanou útočníkem a získal užitečné zatížení druhé fáze, pokud byly splněny specifické podmínky,“ uvedli výzkumníci Mandiant a TAG.

Není to poprvé, co tento přístup využil UNC4899, který byl přičítán hackeru JumpCloud 2023. V červenci 2023 GitHub varoval před útokem sociálního inženýrství, jehož cílem bylo přimět zaměstnance pracující ve společnostech zabývajících se blockchainem, kryptoměnami, online hazardními hrami a kybernetickou bezpečností, aby spustili kód hostovaný v úložišti GitHub pomocí falešných balíčků npm.

Kampaně sociálního inženýrství s pracovní tematikou jsou opakujícím se tématem mezi severokorejskými hackerskými skupinami, přičemž technologický gigant si také všiml kampaně organizované skupinou, zanmou jako PAEKTUSAN, aby doručila malware pro stahování C++ označovaný jako AGAMEMNON prostřednictvím příloh Microsoft Word vložených do phishingových e-mailů.

V jednom případě PAEKTUSAN vytvořil účet, který se vydával za personálního ředitele brazilské letecké firmy a použil jej k zasílání phishingových e-mailů zaměstnancům druhé brazilské letecké firmy,“ poznamenali výzkumníci a dodali, že kampaně jsou v souladu s dlouhodobou aktivitou Operace Dream Job.

V samostatné kampani se PAEKTUSAN vydával za náboráře ve velké americké letecké společnosti a oslovoval profesionály v Brazílii a dalších regionech prostřednictvím e-mailu a sociálních médií o potenciálních pracovních příležitostech.“

Google dále uvedl, že zablokoval pokusy jiné severokorejské skupiny přezdívané PRONTO, která zaútočila na diplomaty pomocí e-mailových návnad souvisejících s denuklearizací a zpravodajstvím, tak aby je přiměl navštívit stránky pro sběr přihlašovacích údajů nebo poskytnout své přihlašovací údaje za účelem zobrazení údajného dokumentu PDF.

Tento vývoj přichází několik týdnů poté, co Microsoft vrhl světlo na dříve nezdokumentovaného aktéra hrozby severokorejského původu s kódovým označením Moonstone Sleet, který si vybral jednotlivce a organizace v oblasti softwarových a informačních technologií, vzdělávání a obranného průmyslu s ransomwarovými a špionážními útoky.

Mezi pozoruhodné taktiky společnosti Moonstone Sleet patří distribuce malwaru prostřednictvím padělaných balíčků npm zveřejněných v registru npm, které odrážejí UNC4899. Balíčky přidružené k těmto dvěma clusterům vykazují odlišné styly a struktury kódu.

Balíčky Jade Sleet, objevené v létě 2023, byly navrženy tak, aby fungovaly ve dvojicích, přičemž každý pár byl publikován samostatným uživatelským účtem npm, aby se distribuovala jejich škodlivá funkčnost,“ uvedli výzkumníci společnosti Checkmarx Tzachi Zornstein a Yehuda Gelb.

Naproti tomu balíčky zveřejněné koncem roku 2023 a začátkem roku 2024 přijaly efektivnější přístup k jednomu balíčku, který by provedl své užitečné zatížení okamžitě po instalaci. Ve druhém čtvrtletí roku 2024 se složitost balíčků zvýšila, útočníci přidali obfuskaci a zaměřili se také na systémy Linux.“

Bez ohledu na rozdíly tato taktika zneužívá důvěru, kterou uživatelé vkládají do úložišť s otevřeným zdrojovým kódem, což umožňuje aktérům hrozeb oslovit širší publikum a zvyšuje pravděpodobnost, že jeden z jejich škodlivých balíčků by mohl být neúmyslně nainstalován nic netušícími vývojáři.

Odhalení je významné, v neposlední řadě proto, že znamená rozšíření mechanismu distribuce malwaru Moonstone Sleeta, který se dříve spoléhal na šíření falešných balíčků npm pomocí LinkedIn a webových stránek nezávislých pracovníků.

Zjištění také následují po odhalení nové kampaně sociálního inženýrství vedené skupinou Kimsuky napojenou na Severní Koreu, ve které se vydávala za zpravodajskou agenturu Reuters, aby se zaměřila na severokorejské aktivisty za lidská práva s cílem doručit malware kradoucí informace pod záminkou žádosti o rozhovor.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS