Los actores de amenaza relacionados con Corea del Norte asociados con la campaña de entrevistas infecciosas se atribuyen a las puertas de traseros previamente indocumentadas llamadas Akdoortea y herramientas como Tsunamis y Tropidoor.
La compañía de ciberseguridad eslovaca ESET rastrea la actividad bajo el nombre Decedivededeverment, pero dijo que la campaña se dirige a los desarrolladores de software para todos los sistemas operativos, Windows, Linux y Maco, especialmente desarrolladores de software involucrados en proyectos de criptomonedas y Web3. También se conoce como Dev #Popper, el famoso Chollima, Gwisin Gang, Teneasious Pungsan, UNC5342 y Void Dokkaebi.
«El conjunto de herramientas de DecepedEvelopment es principalmente multiplataforma, y dijo en un informe que compartió noticias de hackers de los primeros guiones maliciosos esotéricos en Python y JavaScript, puertas traseras básicas en Python and Go, y los investigadores de ESET Peter Kalnai y Mathj Havránek.
La campaña incluye reclutadores falsificados que esencialmente ofrecen lo que parece ser un papel de trabajo más ventajoso que plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List. Después del alcance inicial, si los objetivos futuros expresan interés en la oportunidad, se les pedirá que hagan clic en el enlace o el ejercicio de codificación para completar la evaluación de video.
Las tareas de programación requieren que clone un proyecto alojado en GitHub. Por otro lado, el sitio web está configurado explícitamente para llevar a cabo evaluaciones de video llamadas, que muestran errores inexistentes relacionados con el acceso de cámara o micrófono bloqueado, y le solicitan que siga las instrucciones de estilo ClickFix para solucionar el problema iniciando un símbolo del sistema o una appinmo de terminal dependiendo del sistema operativo que esté utilizando.
Independientemente del método empleado, generalmente se sabe que los ataques entregan varios malware, como Beavertail, Invisibleferret, Ottercookie, Golangghost (también conocido como FlexibleFerret o Weaselstore) y PylangJost.
«La funcionalidad de WeaselStore es muy similar tanto a Beaverail como a InvisibleTret, con el enfoque principal extrayendo datos confidenciales de navegadores y billeteras de criptomonedas», dijo Eset. «Cuando los datos se expanden, WeaselStore actúa como una rata que puede continuar comunicándose con los servidores C&C (comando y control), a diferencia de los infantes de infantes tradicionales».
Además, Tsunamikit, Postnaptea y Tropidoor se implementan como parte de estas secuencias de infección. El primero es un conjunto de herramientas de malware proporcionado por InvisibleFerret, diseñado para el robo de información y criptomonedas. El uso del tsunami se descubrió por primera vez en noviembre de 2024.
El kit de herramientas consta de varios componentes, y el punto de partida es una etapa temprana de tsunami-drier que desencadena la ejecución de un inyector (inyector de tsunami), que deja caer el tsunami y el halder de tsunami.
El instalador de tsunami actúa como un gotero para los instaladores de tsunami que descargan y ejecutan tsunamis, pero el tsunami establece la sostenibilidad del tsunami y es responsable de configurar las exclusiones del defensor de Microsoft. TsunamicLient es un módulo central con Spyware .NET integrado en él y deja caer mineros de criptomonedas como XMRIG y NBMiner.
Es probable que el kit de tsunami sea un cambio en un proyecto web oscuro en lugar de una creación nativa de actores de amenaza, antes del lanzamiento de la entrevista con infecciosidad, que se encontró en diciembre de 2021 y se cree que comenzó a fines de 2022.
Se ha encontrado que el robador y el descargador de Beaverail funcionan como un vehículo de distribución para otro malware conocido como Tropidoor, que se superpone con la herramienta del grupo Lázaro llamada LightlessCan, según ASEC. Eset dijo que en 2022, al agregar malware que agrega malware, que es el malware utilizado por los actores de amenaza contra los objetivos en Corea, el artefacto de Tropidoor también descubrió evidencia de que se subió a Virustotal.
Postnaptea admite comandos como actualizaciones de configuración, operaciones de archivos y captura de pantalla, administración de sistemas de archivos, administración de procesos, versiones personalizadas de comandos de Windows como Wowy, Netstat, Tracert, Búsqueda, IPCONFIG, SystemInfo y más.
«Tropidoor probablemente se deba a que se basa en malware desarrollado por actores de amenaza más avanzados técnicamente avanzados bajo el paraguas de Lazarus.
Cadena de ejecución de Weaselstore
La última incorporación al Arsenal del actor de amenaza es un troyano de acceso remoto llamado Akdoortea, entregado por Windows Batch Scripts. El script descarga un archivo zip («nvidiareLease.zip»), ejecuta el script Visual Basic que reside dentro de él y luego inicia las cargas útiles de Beaverail y Akdoortea que están incluidas en el archivo.
Vale la pena señalar que esta campaña ha aprovechado las actualizaciones de controladores con temas de NVIDIA como parte del ataque ClickFix para abordar la cámara o los problemas de micrófono que se esperan al proporcionar clasificaciones de video.
Akdoortea toma su nombre del hecho de que comparte la comunidad con Akdoor. Akdoor es conocido como una variante del implante de arma nuclear (también conocida como manuscrypt).
«TTPS de Deceptivedevervement ilustra un modelo más distribuido e impulsado por el volumen de sus operaciones. A pesar de la falta de refinamiento técnico, el grupo compensa a través del tamaño y la ingeniería social creativa», dijo Eset.
«La campaña demuestra un enfoque práctico, aprovechando las herramientas de código abierto, reutiliza proyectos web oscuros, adaptando malware arrendado a otros grupos organizados por Corea del Norte y explotando vulnerabilidades humanas a través de plataformas de reclutamiento y entrevistas falsas».
Las entrevistas infecciosas no funcionan con silos. También se sabe que compartirá cierto grado de superposición con el esquema de trabajadores de TI fraudulentos de Pyongyang (también conocido como Wagemole), y ZScaler señala que la inteligencia recolectada de los primeros está siendo utilizada por funcionarios norcoreanos para asegurar el trabajo en estas compañías en compañías que fabrican identidades robadas y personas integradas. Se cree que la amenaza de los trabajadores de TI ha estado en curso desde 2017.
Entrevistas contagiosas y la conexión WageMall
La firma de ciberseguridad Trellix dijo en un informe publicado esta semana que un individuo que usa el nombre «Kyle Lankford» ha descubierto un caso de fraude de empleo de trabajadores de TI de Corea del Norte dirigido a compañías de salud estadounidenses que solicitaron un importante puesto de ingeniero de software.
Los solicitantes de empleo no plantearon una bandera roja al principio del proceso de contratación, pero Trellix dijo que pueden correlacionar las direcciones de correo electrónico con las métricas de trabajadores de TI de Corea del Norte conocidas. Agregó que un análisis adicional de los intercambios de correo electrónico y las verificaciones de antecedentes han identificado al candidato como probable un operativo norcoreano.
«Las actividades de los trabajadores de TI de Corea del Norte constituyen una amenaza híbrida», señaló Eset. «Este esquema de empleo de fraude combina operaciones penales clásicas, como el robo de identidad y el fraude de identidad sintética con herramientas digitales que las clasifican como delitos y delitos cibernéticos tradicionales (o delitos electrónicos)».
Source link
