Aktor ancaman yang berafiliasi dengan Korea Utara telah terlihat memanfaatkan LinkedIn sebagai cara untuk menargetkan pengembang sebagai bagian dari operasi perekrutan pekerjaan palsu.
Serangan ini menggunakan uji pengkodean sebagai vektor infeksi awal yang umum, kata Mandiant milik Google dalam laporan baru tentang ancaman yang dihadapi oleh sektor Web3.
“Setelah percakapan obrolan awal, penyerang mengirim file ZIP yang berisi malware COVERTCATCH yang disamarkan sebagai tantangan pengkodean Python,” kata peneliti Robert Wallace, Blas Kojusner, dan Joseph Dobson.
Malware tersebut berfungsi sebagai landasan peluncuran untuk membahayakan sistem macOS target dengan mengunduh muatan tahap kedua yang membangun persistensi melalui Agen Peluncuran dan Daemon Peluncuran.
Perlu diperhatikan bahwa ini adalah salah satu dari banyak kelompok aktivitas – yaitu Operasi Dream Job, Contagious Interview, dan lainnya – yang dilakukan oleh kelompok peretas Korea Utara yang memanfaatkan umpan terkait pekerjaan untuk menginfeksi target dengan malware.
Umpan bertema perekrutan juga menjadi taktik umum untuk mengirimkan keluarga malware seperti RustBucket dan KANDYKORN.
Mandiant mengatakan pihaknya mengamati kampanye rekayasa sosial yang mengirimkan PDF berbahaya yang disamarkan sebagai deskripsi pekerjaan untuk “VP Keuangan dan Operasional” di bursa mata uang kripto terkemuka.
“PDF berbahaya tersebut menyebarkan malware tahap kedua yang dikenal sebagai RustBucket yang merupakan pintu belakang yang ditulis dalam Rust yang mendukung eksekusi file.”
Implan RustBucket dilengkapi untuk mengumpulkan informasi sistem dasar, berkomunikasi dengan URL yang disediakan melalui baris perintah, dan menyiapkan persistensi menggunakan Agen Peluncuran yang menyamar sebagai “Pembaruan Safari” untuk menghubungi domain perintah-dan-kontrol (C2) yang dikodekan secara keras.
Penargetan Korea Utara terhadap organisasi Web3 juga melampaui rekayasa sosial dan mencakup serangan rantai pasokan perangkat lunak, seperti yang diamati dalam insiden yang ditujukan pada 3CX dan JumpCloud dalam beberapa tahun terakhir.
“Setelah pijakan terbentuk melalui malware, penyerang beralih ke pengelola kata sandi untuk mencuri kredensial, melakukan pengintaian internal melalui repo kode dan dokumentasi, dan beralih ke lingkungan hosting cloud untuk mengungkap kunci dompet panas dan akhirnya menguras dana,” kata Mandiant.
Pengungkapan ini muncul di tengah peringatan dari Biro Investigasi Federal AS (FBI) tentang pelaku ancaman Korea Utara yang menargetkan industri mata uang kripto menggunakan “kampanye rekayasa sosial yang sangat disesuaikan dan sulit dideteksi.”
Upaya yang terus-menerus ini, yang menyamar sebagai perusahaan perekrutan atau individu yang korban kenal secara pribadi atau tidak langsung dengan tawaran pekerjaan atau investasi, dipandang sebagai saluran bagi pencurian kripto yang terang-terangan yang dirancang untuk menghasilkan pendapatan gelap bagi kerajaan pertapa, yang telah menjadi subjek sanksi internasional.
Yang perlu diperhatikan di antara taktik yang digunakan termasuk mengidentifikasi bisnis terkait mata uang kripto yang menarik, melakukan penelitian pra-operasional secara ekstensif terhadap target mereka sebelum memulai kontak, dan merancang skenario palsu yang dipersonalisasi dalam upaya untuk menarik calon korban dan meningkatkan kemungkinan keberhasilan serangan mereka.
“Pelaku mungkin merujuk pada informasi pribadi, minat, afiliasi, acara, hubungan pribadi, koneksi profesional, atau detail yang diyakini korban hanya diketahui sedikit orang,” kata FBI, menyoroti upaya untuk membangun hubungan dan akhirnya mengirimkan malware.
“Jika berhasil membangun kontak dua arah, pelaku awal, atau anggota tim pelaku lainnya, dapat menghabiskan banyak waktu untuk berinteraksi dengan korban guna meningkatkan rasa legitimasi dan menumbuhkan keakraban dan kepercayaan.”