Pohjoiskorealaiset uhkatoimijat esiintyvät sekä työnrekrytoijina että työnhakijoina verkossa, pettääkseen yrityksiä ja hakijoita saadakseen taloudellista hyötyä ja mahdollisesti päästäkseen länsimaisiin organisaatioihin.
Palo Alto Networksin yksikkö 42 julkaisi tällä viikolla tiedot kaksi tällaista meneillään olevaa kampanjaa se seuraa nimellä "tarttuva haastattelu" ja "Wagemole".
Tartuntahaastattelussa Korean demokraattisen kansantasavallan (Korean demokraattisen kansantasavallan) uhkatekijät toimivat työnantajina, julkaisevat vääriä avoimia työpaikkoja ja ovat tekemisissä tahattomien hakijoiden kanssa. Sitten tarkastusprosessin aikana he houkuttelevat hakijat asentamaan kehittyneitä, monialustaisia tietovarastoja.
Wagemolessa pahikset vaihtavat rooleja ja pukeutuvat valepersoonoihin hakeakseen töitä vakiintuneisiin organisaatioihin, jotka sijaitsevat Yhdysvalloissa ja muualla.
Kuten Michael Sikorski, teknologiajohtaja ja Unit 42:n varapuheenjohtaja, selittää, nämä monimutkaiset juonit tuottavat paljon uskottavampaa sosiaalista manipulointia kuin tyypillinen tietojenkalasteluviestisi.
”Ihmisiä pommitetaan sähköposteilla koko päivän – suurin osa niistä heitetään roskakoriin tai jopa merkitään roskapostiksi. Joten tämä on yritys kääntyä pois ja saada se näyttämään paljon realistisemmalta", hän sanoo.
Työnhakijoiden pettäminen
Pohjois-Korea on pitkään ollut luovan vakoilun ja taloudellisen kyberrikollisuuden lähde. Perinteisten kybervarkauksien lisäksi - jolle se on tuottelias - Maan johtajan Kim Jong Unin armeija on myös lähtenyt syrjäytyneeltä tieltä alueille ja taktiikoilla, joita muualla maailmassa ei ole juurikaan nähty.
Esimerkiksi sen valtion tukemat hakkerit ovat esiintyneet rekrytoijina korkean teknologian töihin houkutelleen kehittäjiä joskus viikkoja tai kuukausia kestäviin sitoumuksiin haittaohjelmien kanssa, jotka odottavat sen lopussa. Yksi tällainen tapaus johti viime vuonna Axie Infinityn ryöstö, suosittu Web3 pay-to-play -peli, jonka yhteishinta on puolen miljardin dollarin pohjoispuolella.
Siitä lähtien näyttää siltä, että hakkerit ovat yrittäneet toistaa menestystä.
Ainakin maaliskuusta lähtien Contagious Interviewn takana oleva uhkatekijä on julkaissut epämääräisiä työpaikkoja ohjelmistokehittäjille tai erityisesti tekoäly- ja Web3-aloihin räätälöityjä töitä. Ensimmäisen yhteydenoton jälkeen sosiaalisessa mediassa, verkkofoorumeilla tai muilla tavoilla ryhmä kutsuu hakijat verkkohaastatteluun.
Haastattelun aikana pahantahtoinen toimija lähettää hakijalle npm-pohjaisen paketin, jota isännöidään GitHubissa. Tämä paketti sisältää "Beavertail", voimakkaasti hämärtyneen, JavaScript-pohjaisen tietovaraajan ja latausohjelman. Se kohdistuu järjestelmän perustietoihin sekä uhrin selaimeen tallennettuihin luottokortti- ja kryptovaluuttalompakkotietoihin. Se myös hakee ja käyttää toisen hyötykuorman, "InvisibleFerret".
InvisibleFerret on Python-pohjainen takaovi, joka pystyy ottamaan sormenjäljet, kirjaamaan näppäimiä, keräämään tunnistetietoja, poistamaan tietoja, ohjaamaan niitä ja tarvittaessa lataamaan AnyDesk RMM:n vaarantuneen tietokoneen hallintaa varten.
Per viimeaikainen trendi osaavien APT:iden keskuudessa, sekä Beavertail että InvisibleFerret toimivat eri käyttöjärjestelmissä: Windows, Linux ja macOS.
Mielenkiintoista on, että rahan varastaminen ja kohteen vakoilu eivät välttämättä ole kummankaan haittaohjelman ensisijainen tarkoitus. "Kun [hyökkääjät] saavat heidät asentamaan haittaohjelmia, he saavat jalansijaa kyseisessä järjestelmässä. Nyt, jos se henkilö menee ja työskentelee jossain muualla tulevaisuudessa – hän luultavasti saa todellisen työn jostain muualta – niin se voi yhtäkkiä johtaa tartunnan tuottamiseen kyseisen yrityksen toimitusketjuun”, Sikorski ehdottaa.
Työnantajien pettäminen
Myös pohjoiskorealaiset ovat jo vuosia asettui etätyötä hakeviksi hakijoiksi tekniikan alalla. Väärennettyjen ansioluetteloiden, sähköpostin, sosiaalisen median, verkkosivustojen ja niin edelleen sokkelon kautta todelliset hakijat, jotka käyttävät väärennettyjä henkilöitä, ansaitsevat työtä ja sitten ohjata tulonsa takaisin Kimin hallintoon.
Tutkiessaan Contagious Interviewin taustalla olevaa GitHub-infrastruktuuria tutkijat löysivät todisteita näistä suunnitelmista: pitkäaikaisia, yksityiskohtaisia tilejä GitHubissa, LinkedInissä, freelance-markkinapaikoissa, puhelinhaastattelujen skriptejä, varastettuja Yhdysvaltain vakituisen asukkaan kortteja ja paljon muuta.
On epäselvää, kuinka moni näistä ersatz-IT-työntekijöistä on kehittänyt todellisia, pitkäaikaisia suhteita yrityksiin. Mutta vasta viime kuussa Yhdysvaltain oikeusministeriö huomautti että "tämä järjestelmä on niin yleinen, että yritysten on oltava valppaina tarkistaakseen, ketä ne palkkaavat."
Yritykset, jotka palkkaavat työntekijöitä väärennetyillä henkilöllisyyksillä, eivät ole vain vaarassa joutua häpeään, Sikorski varoittaa. "Ajattele vain sitä valtavaa riskiä, että ympäristössäsi on valtion tukema toimija", hän sanoo. "Ja muista: nämä ovat ohjelmistokehittäjiä, mikä tarkoittaa, että heillä on pääsy lähdekoodiin."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/dprk-hackers-masquerading-tech-recruiters–job-seekers
