Peneliti keamanan siber terus memperingatkan tentang upaya pelaku ancaman Korea Utara untuk menargetkan calon korban di LinkedIn untuk mengirimkan malware yang disebut RustDoor.
Informasi terbaru datang dari Jamf Threat Labs, yang menyatakan pihaknya menemukan upaya serangan di mana seorang pengguna dihubungi di jaringan sosial profesional dengan mengaku sebagai perekrut untuk bursa mata uang kripto terdesentralisasi (DEX) sah bernama STON.fi.
Aktivitas siber yang berbahaya tersebut merupakan bagian dari kampanye multi-cabang yang dilancarkan oleh aktor ancaman siber yang didukung oleh Republik Rakyat Demokratik Korea (DPRK) untuk menyusup ke jaringan yang diinginkan dengan dalih melakukan wawancara atau tugas pengkodean.
Sektor keuangan dan mata uang kripto merupakan salah satu target utama para musuh yang disponsori negara yang berupaya menghasilkan pendapatan gelap dan memenuhi serangkaian tujuan yang terus berkembang berdasarkan kepentingan rezim.
Serangan ini terwujud dalam bentuk “kampanye rekayasa sosial yang sangat dirancang dan sulit dideteksi” yang ditujukan kepada karyawan keuangan terdesentralisasi (“DeFi”), mata uang kripto, dan bisnis serupa, seperti yang baru-baru ini disorot oleh Biro Investigasi Federal AS (FBI) dalam sebuah nasihat.
Salah satu indikator penting aktivitas rekayasa sosial Korea Utara terkait dengan permintaan untuk mengeksekusi kode atau mengunduh aplikasi pada perangkat milik perusahaan, atau perangkat yang memiliki akses ke jaringan internal perusahaan.
Aspek lain yang layak disebutkan adalah bahwa serangan tersebut juga melibatkan “permintaan untuk melakukan 'uji pra-kerja' atau latihan debugging yang melibatkan eksekusi paket Node.js, paket PyPI, skrip, atau repositori GitHub yang tidak standar atau tidak dikenal.”
Contoh-contoh taktik semacam itu telah didokumentasikan secara luas dalam beberapa minggu terakhir, yang menggarisbawahi evolusi berkelanjutan alat yang digunakan dalam kampanye ini terhadap target.
Rangkaian serangan terbaru yang dideteksi Jamf melibatkan tipu daya terhadap korban agar mengunduh proyek Visual Studio yang penuh jebakan sebagai bagian dari tantangan pengkodean yang menyertakan perintah bash untuk mengunduh dua muatan tahap kedua yang berbeda (“VisualStudioHelper” dan “zsh_env”) dengan fungsionalitas yang identik.
Malware tahap kedua ini adalah RustDoor, yang dilacak oleh perusahaan sebagai Thiefbucket. Saat artikel ini ditulis, tidak ada satu pun mesin anti-malware yang menandai file uji kode zip tersebut sebagai berbahaya. File tersebut diunggah ke platform VirusTotal pada tanggal 7 Agustus 2024.
“File konfigurasi yang tertanam dalam dua sampel malware terpisah menunjukkan bahwa VisualStudioHelper akan tetap ada melalui cron sementara zsh_env akan tetap ada melalui file zshrc,” kata peneliti Jaron Bradley dan Ferdous Saljooki.
RustDoor, backdoor macOS, pertama kali didokumentasikan oleh Bitdefender pada bulan Februari 2024 terkait dengan kampanye malware yang menargetkan perusahaan mata uang kripto. Analisis selanjutnya oleh S2W mengungkap varian Golang yang dijuluki GateDoor yang dimaksudkan untuk menginfeksi komputer Windows.
Temuan Jamf ini signifikan, tidak hanya karena menandai pertama kalinya malware tersebut secara resmi dikaitkan dengan aktor ancaman Korea Utara, tetapi juga karena fakta bahwa malware tersebut ditulis dalam Objective-C.
VisualStudioHelper juga dirancang untuk bertindak sebagai pencuri informasi dengan mengumpulkan file yang ditentukan dalam konfigurasi, tetapi hanya setelah meminta pengguna memasukkan kata sandi sistem mereka dengan menyamarkannya seolah-olah berasal dari aplikasi Visual Studio untuk menghindari timbulnya kecurigaan.
Namun, kedua muatan tersebut beroperasi sebagai pintu belakang dan menggunakan dua server berbeda untuk komunikasi perintah dan kontrol (C2).
“Aktor ancaman terus waspada dalam mencari cara baru untuk mengejar mereka yang berkecimpung di industri kripto,” kata para peneliti. “Penting untuk melatih karyawan Anda, termasuk pengembang, agar tidak ragu mempercayai mereka yang terhubung di media sosial dan meminta pengguna untuk menjalankan perangkat lunak jenis apa pun.
“Skema rekayasa sosial yang dilakukan DPRK ini datangnya dari mereka yang fasih berbahasa Inggris dan memasuki percakapan setelah meneliti targetnya dengan baik.”