خانه » هکرهای کره شمالی بدافزار COVERTCATCH را در لینکدین توزیع کردند!

هکرهای کره شمالی بدافزار COVERTCATCH را در لینکدین توزیع کردند!

توسط Vulnerbyte
99 بازدید
بدافزار COVERTCATCH - فرصت‌های شغلی در لینکدین - هکرهای کره شمالی

هکرهای کره شمالی در حملات اخیر خود از لینکدین به عنوان راهی برای هدف قرار دادن توسعه دهندگان به عنوان بخشی از یک عملیات استخدام شغلی جعلی سوء استفاده کردند! هکرها پس از گفتگوی اولیه با قربانی مورد نظر، یک فایل ZIP را برای او ارسال می‌کنند که حاوی بدافزار COVERTCATCH می‌باشد و به عنوان یک چالش کدنویسی به زبان پایتون ارائه می‌گردد.

این بدافزار وظیفه راه‌اندازی عملیات را بر عهده دارد تا سیستم macOS هدف را با دانلود یک پیلود ثانویه که تداوم دسترسی را از طریق Launch Agents و Launch Daemons ایجاد می‌کند، مورد نفوذ قرار دهد.

از سوی دیگر، Mandiant اعلام کرد که یک کمپین مهندسی اجتماعی را مشاهده کرده است که PDF مخربی را به عنوان شرح شرایط فرصت شغلی “معاون مالی و عملیاتی” در یک صرافی برجسته ارز دیجیتال تحویل داده است.

این PDF مخرب، بدافزار دیگری به نام RustBucket را مستقر می‌کند که یک بکدور نوشته شده به زبان Rust است که از اجرای فایل پشتیبانی می‌کند.

ایمپلنت RustBucket مجهز به جمع آوری اطلاعات اولیه سیستم، ارتباط با URL ارائه شده از طریق خط فرمان، و ایجاد تداوم دسترسی با استفاده از یک Launch Agent است که خود را به عنوان “به روزرسانی مرورگر سافاری” پنهان می‌کند تا با دامنه یک سرور فرماندهی و کنترل (C2) هاردکد شده ارتباط برقرار کند.

همانطور که در رخدادهای سایبری سال‌های اخیر در 3CX  و JumpCloud مشاهده شد، هدف قرار دادن سازمان‌های Web3 توسط کره شمالی نیز فراتر از مهندسی اجتماعی است و حملات زنجیره تامین نرم افزار را در بر می‌گیرد.

هنگامی که از طریق بدافزار جا پایی ایجاد می‌شود، هکرها به سمت password managerها می‌روند تا نام کاربری و رمز عبور را بربایند، شناسایی داخلی را از طریق مخزن کد و اسناد انجام دهند و به سوی محیط میزبان ابری حرکت کنند و کلیدهای کیف پول‌های hot  را ربوده و در نهایت وجوه آنها را تخلیه کنند.

چندی پیش نیز حملاتی از این دست در لینکدین رخ داد! محققان آزمایشگاه Elastic Security، جزئیات یک حمله فیشینگ را در زوئن ۲۰۲۴ فاش کردند که از فرصت‌های شغلی و استخدامی برای ارائه یک بدافزار مبتنی بر ویندوز به نام بکدور WARMCOOKIE سوء استفاده می‌کردند.

بکدور WARMCOOKIE، دارای قابلیت‌هایی برای شناسایی دستگاه‌های آلوده، گرفتن اسکرین شات و استقرار برنامه‌های مخرب است. آزمایشگاه Elastic Security، این فعالیت را تحت نام REF6127 دنبال می‌کند.

زنجیره‌های حمله‌ای که از اواخر آوریل مشاهده شده‌اند شامل استفاده از پیام‌های ایمیلی هستند که ظاهراً از سوی شرکت‌های استخدامی مانند Hays، Michael Page و PageGroup ارسال می‌شوند. این ایمیل‌ها از گیرندگان درخواست می‌کنند تا برای مشاهده جزئیات یک فرصت شغلی، بر روی لینک ارائه شده کلیک کنند.

قربانی پس از کلیک بر روی لینک، می‌بایست یک کد CAPTCHA را وارد نماید تا یک سند دانلود گردد. با اجرای این سند مخرب، یک فایل جاوا اسکریپت ” Update_23_04_2024_5689382.js” بر روی دستگاه قربانی مستقر خواهد شد.

حمله دیگر عکس این قضیه بود، یعنی نفوذ بدافزار more_eggs به استخدام کنندگان توسط فایل رزومه آلوده!

محققان شرکت امنیت سایبری کانادایی eSentire، فعالیت‌های مربوط به یک حمله فیشینگ توسط بدافزار more_eggs را شناسایی کردند. این بدافزار در قالب رزومه استخدامی توزیع می‌شود و تکنیکی است که اولین بار بیش از دو سال پیش شناسایی شد.

eSentire، ششم ژوئن ۲۰۲۴ فاش کرد که این حمله بدافزاری، یک شرکت ناشناس در حوزه خدمات صنعتی را در ماه مِی مورد هدف قرار داده که البته ناموفق بوده است. قربانی مورد نظر، استخدام‌ کننده‌‌ای می‌باشد که توسط فرد مهاجم در لینکدین فریب خورده و تصور کرده است که او متقاضی کار می‌باشد. مهاجم بدین ترتیب استخدام کننده را برای دریافت لودر بدافزار، به وب ‌سایت خود کشانده است.

بدافزار More_eggs که گمان می‌‌رود توسط گروه Golden Chickens (معروف به Venom Spider) توسعه یافته، یک بکدور ماژولار است که قادر به جمع ‌آوری اطلاعات حساس همچون نام کاربری و گذرواژه‌ حساب‌های بانکی شرکت، حساب‌های ایمیل و حساب‌های administrator می‌باشد. More_eggs تحت مدل بدافزار به عنوان یک سرویس (MaaS[1]) در دارک وب توزیع می‌شود.

تاکتیک‌های مهندسی اجتماعی هر روز در حال بهبود و توسعه هستند. از این رو می‌بایست کاربران چه در مقام کارفرما و چه در مقام کارپذیر همیشه هشیار بوده و از راهکارهای امنیتی به روزرسانی شده در دستگاه‌های خود استفاده کنند تا بتوانند هر گونه بدافزاری را به موقع شناسایی کنند.

 

[1] Malware-as-a-Service

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید