Aktor-aktor ancaman Korea Utara di balik wawancara menular telah mengadopsi taktik rekayasa sosial clickfix yang semakin populer untuk memikat pencari kerja di sektor cryptocurrency untuk memberikan pintu belakang berbasis Go yang sebelumnya tidak berdokumen yang disebut golangghost pada sistem Windows dan macOS.
Kegiatan baru, dinilai sebagai kelanjutan dari kampanye, telah diberi nama kode Wawancara Clickfake oleh perusahaan cybersecurity Prancis Sekoia. Wawancara menular, juga dilacak sebagai pengembangan yang menipu, Dev#Popper, dan Chollima yang terkenal, diketahui aktif sejak setidaknya Desember 2022, meskipun hanya didokumentasikan secara publik untuk pertama kalinya pada akhir 2023.
“Ini menggunakan situs web wawancara kerja yang sah untuk memanfaatkan taktik clickfix dan menginstal backdoors windows dan macos,” kata sekoia peneliti Amaury G., Coline Chavane, dan Felix Aimé, yang menghubungkan upaya Republik Demokrat (RGB) yang dikaitkan dengan Rekepsi Demokrat (RGB) yang dikaitkan dengan Rekenisan Rekayat (RGB.
Aspek penting dari kampanye ini adalah bahwa ia terutama menargetkan entitas keuangan terpusat dengan menyamar sebagai perusahaan seperti Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood, dan Bitbit, menandai keberangkatan dari serangan kelompok peretasan terhadap entitas keuangan terdesentralisasi (defi).
Wawancara menular, seperti Operation Dream Job, menggunakan penawaran pekerjaan palsu sebagai umpan untuk menarik target calon dan menipu mereka untuk mengunduh malware yang dapat mencuri cryptocurrency dan data sensitif lainnya.
Sebagai bagian dari upaya ini, kandidat didekati melalui LinkedIn atau X untuk mempersiapkan wawancara panggilan video, yang diminta mereka untuk mengunduh perangkat lunak konferensi video yang dilacak malware atau proyek open-source yang mengaktifkan proses infeksi.
Penggunaan taktik Lazarus Group atas clickfix pertama kali diungkapkan menjelang akhir 2024 oleh peneliti keamanan Taylor Monahan, dengan rantai serangan yang mengarah ke penyebaran keluarga malware yang disebut Ferret yang kemudian memberikan golang backdoor.
Dalam iterasi kampanye ini, para korban diminta untuk mengunjungi layanan wawancara video yang diakui bernama Willo dan menyelesaikan penilaian video tentang diri mereka sendiri.
“Seluruh pengaturan, dirancang dengan cermat untuk membangun kepercayaan pengguna, berlanjut dengan lancar sampai pengguna diminta untuk mengaktifkan kamera mereka,” Sekoia menjelaskan. “Pada titik ini, pesan kesalahan muncul yang menunjukkan bahwa pengguna perlu mengunduh driver untuk memperbaiki masalah. Di sinilah operator menggunakan teknik clickFix.”
Instruksi yang diberikan kepada korban untuk memungkinkan akses ke kamera atau mikrofon bervariasi tergantung pada sistem operasi yang digunakan. Pada Windows, target diminta untuk membuka prompt perintah dan menjalankan perintah curl untuk menjalankan file visual basic script (VBS), yang kemudian meluncurkan skrip batch untuk menjalankan golangghost.
Jika korban mengunjungi situs dari mesin MacOS, mereka juga diminta untuk meluncurkan aplikasi terminal dan menjalankan perintah curl untuk menjalankan skrip shell. Script shell jahat, untuk bagiannya, menjalankan skrip shell kedua yang, pada gilirannya, mengeksekusi modul pencuri yang dijuluki Frostyferret (alias ChromeupDateAlert) dan backdoor.
Frostyferret menampilkan jendela palsu yang menyatakan browser web Chrome membutuhkan akses ke kamera atau mikrofon pengguna, setelah itu menampilkan prompt untuk memasukkan kata sandi sistem. Informasi yang dimasukkan, terlepas dari apakah itu valid atau sebaliknya, dieksfiltrasi ke lokasi Dropbox, kemungkinan menunjukkan upaya untuk mengakses gantungan kunci iCloud menggunakan kata sandi yang dicuri.
Golangghost direkayasa untuk memfasilitasi remote control dan pencurian data melalui beberapa perintah yang memungkinkannya mengunggah/mengunduh file, mengirim informasi host, dan mencuri data browser web.
“Ditemukan bahwa semua posisi tidak terkait dengan profil teknis dalam pengembangan perangkat lunak,” kata Sekia. “Mereka terutama pekerjaan manajer yang berfokus pada pengembangan bisnis, manajemen aset, pengembangan produk atau spesialis keuangan terdesentralisasi.”
“Ini adalah perubahan signifikan dari kampanye terdokumentasi sebelumnya yang dikaitkan dengan aktor ancaman DPRK-Nexus dan berdasarkan wawancara kerja palsu, yang terutama menargetkan pengembang dan insinyur perangkat lunak.”
Skema Pekerja TI Korea Utara menjadi aktif di Eropa
Perkembangan ini terjadi ketika Google Ancaman Intelijen (GTIG) mengatakan telah mengamati lonjakan skema pekerja TI yang curang di Eropa, menggarisbawahi perluasan yang signifikan dari operasi mereka di luar Amerika Serikat.
Kegiatan pekerja TI mensyaratkan warga negara Korea Utara yang menyamar sebagai pekerja jarak jauh yang sah untuk menyusup ke perusahaan dan menghasilkan pendapatan ilegal bagi Pyongyang yang melanggar sanksi internasional.
Meningkatnya kesadaran akan kegiatan, ditambah dengan dakwaan Departemen Kehakiman AS, telah menghasut “perluasan global operasi pekerja TI,” kata Google, mencatat bahwa itu mengungkap beberapa kepribadian fabrikasi yang mencari pekerjaan di berbagai organisasi yang berlokasi di Jerman dan Portugal.
Pekerja TI juga telah diamati melakukan berbagai proyek di Inggris terkait dengan pengembangan web, pengembangan bot, pengembangan Sistem Manajemen Konten (CMS), dan teknologi blockchain, sering memalsukan identitas mereka dan mengklaim berasal dari Italia, Jepang, Malaysia, Singapura, Ukraina, Amerika Serikat, dan Vietnam.
Taktik pekerja TI ini berpose sebagai warga negara Vietnam, Jepang, dan Singapura juga disorot oleh perusahaan intelijen yang dikelola Nisos awal bulan lalu, sementara juga menunjukkan penggunaan GitHub mereka untuk mengukir kepribadian baru atau mendaur ulang konten portofolio dari persona yang lebih tua untuk memperkuat yang baru.
“Pekerja TI di Eropa direkrut melalui berbagai platform online, termasuk Upwork, Telegram, dan Freelancer,” Jamie Collier, penasihat intelijen ancaman utama untuk Eropa di GTIG, mengatakan. “Pembayaran untuk layanan mereka difasilitasi melalui cryptocurrency, layanan Transferwise, dan payoneer, menyoroti penggunaan metode yang mengaburkan asal dan tujuan dana.”
Selain menggunakan fasilitator lokal untuk membantu mereka pekerjaan mendarat, operasi ancaman orang dalam menyaksikan apa yang tampaknya merupakan lonjakan upaya pemerasan sejak Oktober 2024, ketika menjadi pengetahuan umum bahwa para pekerja TI ini beralih ke pembayaran tebusan dari majikan mereka untuk mencegah mereka melepaskan data kepemilikan atau untuk memberikannya kepada pesaing.
Dalam apa yang tampaknya menjadi evolusi lebih lanjut dari skema ini, para pekerja TI sekarang dikatakan menargetkan perusahaan yang mengoperasikan kebijakan membawa perangkat Anda sendiri (BYOD) karena fakta bahwa perangkat tersebut tidak mungkin memiliki alat keamanan dan logging tradisional yang digunakan dalam lingkungan perusahaan.
“Eropa perlu bangun dengan cepat. Meskipun berada di garis bidik operasi pekerja TI, terlalu banyak menganggap ini sebagai masalah AS. Pergeseran Korea Utara baru -baru ini kemungkinan berasal dari rintangan operasional AS, menunjukkan ketangkasan dan kemampuan pekerja TI untuk beradaptasi dengan perubahan keadaan,” kata Collier.
“Satu dekade serangan cyber yang beragam mendahului lonjakan terbaru Korea Utara – dari penargetan cepat dan ransomware, hingga pencurian cryptocurrency dan kompromi rantai pasokan. Inovasi tanpa henti ini menunjukkan komitmen lama untuk mendanai rezim melalui operasi cyber.”
