Aktor ancaman yang memiliki hubungan dengan Republik Demokratik Rakyat Korea (DPRK) terlihat menargetkan bisnis terkait mata uang kripto dengan malware multi-tahap yang mampu menginfeksi perangkat macOS Apple.
Perusahaan keamanan siber SentinelOne, yang menjuluki kampanye tersebut Risiko Tersembunyimengaitkannya dengan keyakinan tinggi dengan BlueNoroff, yang sebelumnya telah dikaitkan dengan keluarga malware seperti RustBucket, KANDYKORN, ObjCShellz, RustDoor (alias Thiefbucket), dan TodoSwift.
Aktivitas tersebut “menggunakan email yang menyebarkan berita palsu tentang tren mata uang kripto untuk menginfeksi target melalui aplikasi jahat yang menyamar sebagai file PDF,” kata peneliti Raffaele Sabato, Phil Stokes, dan Tom Hegel dalam laporan yang dibagikan kepada The Hacker News.
“Kampanye ini kemungkinan besar dimulai pada awal Juli 2024 dan menggunakan umpan email dan PDF dengan judul berita palsu atau cerita tentang topik terkait kripto.”
Seperti yang diungkapkan oleh Biro Investigasi Federal AS (FBI) dalam nasihatnya pada bulan September 2024, kampanye ini adalah bagian dari serangan “rekayasa sosial yang sangat disesuaikan dan sulit dideteksi” yang ditujukan kepada karyawan yang bekerja di sektor keuangan terdesentralisasi (DeFi) dan mata uang kripto. .
Serangan tersebut berupa peluang kerja palsu atau investasi perusahaan, yang melibatkan target mereka dalam jangka waktu yang lama untuk membangun kepercayaan sebelum menyebarkan malware.
SentinelOne mengatakan pihaknya mengamati upaya phishing email pada industri terkait kripto pada akhir Oktober 2024 yang mengirimkan aplikasi dropper yang meniru file PDF (“Risiko Tersembunyi di Balik Lonjakan Baru Harga Bitcoin.app”) yang dihosting di delphidigital[.]organisasi.
Permohonan yang ditulis dalam bahasa pemrograman Swift itu diketahui telah ditandatangani dan diaktakan pada 19 Oktober 2024, dengan ID pengembang Apple “Avantis Regtech Private Limited (2S8XHJ7948).” Tanda tangan tersebut telah dicabut oleh pembuat iPhone.
Saat diluncurkan, aplikasi mengunduh dan menampilkan kepada korban sebuah file PDF umpan yang diambil dari Google Drive, sambil secara diam-diam mengambil tahap kedua yang dapat dieksekusi dari server jarak jauh dan mengeksekusinya. Dapat dieksekusi dengan Mach-O x86-64, biner unsigned berbasis C++ bertindak sebagai pintu belakang untuk menjalankan perintah jarak jauh.
Pintu belakang juga menggunakan mekanisme persistensi baru yang menyalahgunakan file konfigurasi zshenv, menandai pertama kalinya teknik ini disalahgunakan oleh pembuat malware.
“Ini memiliki nilai khusus pada macOS versi modern sejak Apple memperkenalkan pemberitahuan pengguna untuk Item Login di latar belakang pada macOS 13 Ventura,” kata para peneliti.
“Pemberitahuan Apple bertujuan untuk memperingatkan pengguna ketika metode persistensi diinstal, khususnya LaunchAgents dan LaunchDaemons yang sering disalahgunakan. Namun, menyalahgunakan Zshenv tidak memicu pemberitahuan seperti itu di versi macOS saat ini.”
Pelaku ancaman juga terlihat menggunakan pendaftar domain Namecheap untuk membangun infrastruktur yang berpusat pada tema yang terkait dengan cryptocurrency, Web3, dan investasi untuk memberikan kesan legitimasi. Quickpacket, Routerhosting, dan Hostwinds adalah beberapa penyedia hosting yang paling umum digunakan.
Perlu dicatat bahwa rantai serangan tersebut memiliki beberapa tingkat tumpang tindih dengan kampanye sebelumnya yang disoroti Kandji pada Agustus 2024, yang juga menggunakan aplikasi dropper macOS bernama serupa “Faktor risiko penurunan harga Bitcoin sedang muncul (2024).app” untuk menerapkan TodoSwift .
Tidak jelas apa yang mendorong para pelaku ancaman mengubah taktik mereka, dan apakah hal tersebut merupakan respons terhadap pelaporan publik. “Aktor-aktor Korea Utara dikenal karena kreativitas, kemampuan beradaptasi, dan kesadaran mereka terhadap laporan mengenai aktivitas mereka, jadi sangat mungkin kita hanya melihat berbagai metode sukses yang muncul dari program cyber ofensif mereka,” kata Stokes kepada The Hacker News.
Aspek lain yang mengkhawatirkan dari kampanye ini adalah kemampuan BlueNoroff untuk memperoleh atau membajak akun pengembang Apple yang valid dan menggunakannya agar malware mereka disahkan oleh Apple.
“Selama sekitar 12 bulan terakhir, pelaku siber Korea Utara telah terlibat dalam serangkaian kampanye melawan industri terkait kripto, banyak di antaranya melibatkan ‘perawatan’ target secara ekstensif melalui media sosial,” kata para peneliti.
“Kampanye Risiko Tersembunyi mengalihkan strategi ini dengan menggunakan pendekatan phishing email yang lebih tradisional dan kasar, meskipun tidak kalah efektifnya. Meskipun metode infeksi awalnya tidak jelas, ciri-ciri lain dari kampanye yang didukung DPRK sebelumnya juga terlihat jelas.”
Perkembangan ini juga terjadi di tengah kampanye lain yang dirancang oleh peretas Korea Utara untuk mencari pekerjaan di berbagai perusahaan di Barat dan mengirimkan malware menggunakan basis kode jebakan dan alat konferensi kepada calon pencari kerja dengan kedok tantangan perekrutan atau penugasan.
Dua set intrusi, yang dijuluki Wagemole (alias UNC5267) dan Contagious Interview, telah dikaitkan dengan kelompok ancaman yang dilacak sebagai Famous Chollima (alias CL-STA-0240 dan Tenacious Pungsan).
ESET, yang memberi Contagious Interview moniker DeceptiveDevelopment, telah mengklasifikasikannya sebagai cluster aktivitas Lazarus Group baru yang berfokus pada penargetan pengembang lepas di seluruh dunia dengan tujuan pencurian mata uang kripto.
“Kampanye Wawancara Menular dan Wagemole menunjukkan taktik yang terus berkembang dari pelaku ancaman Korea Utara ketika mereka terus mencuri data, mendapatkan pekerjaan jarak jauh di negara-negara Barat, dan mengabaikan sanksi keuangan,” kata peneliti Zscaler ThreatLabz, Seongsu Park, awal pekan ini.
“Dengan teknik penyamaran yang canggih, kompatibilitas multi-platform, dan pencurian data yang meluas, kampanye ini mewakili ancaman yang semakin besar terhadap bisnis dan individu.”