هکرهای کره شمالی در حملات اخیر خود از لینکدین به عنوان راهی برای هدف قرار دادن توسعه دهندگان به عنوان بخشی از یک عملیات استخدام شغلی جعلی سوء استفاده کردند! هکرها پس از گفتگوی اولیه با قربانی مورد نظر، یک فایل ZIP را برای او ارسال میکنند که حاوی بدافزار COVERTCATCH میباشد و به عنوان یک چالش کدنویسی به زبان پایتون ارائه میگردد.
این بدافزار وظیفه راهاندازی عملیات را بر عهده دارد تا سیستم macOS هدف را با دانلود یک پیلود ثانویه که تداوم دسترسی را از طریق Launch Agents و Launch Daemons ایجاد میکند، مورد نفوذ قرار دهد.
از سوی دیگر، Mandiant اعلام کرد که یک کمپین مهندسی اجتماعی را مشاهده کرده است که PDF مخربی را به عنوان شرح شرایط فرصت شغلی “معاون مالی و عملیاتی” در یک صرافی برجسته ارز دیجیتال تحویل داده است.
این PDF مخرب، بدافزار دیگری به نام RustBucket را مستقر میکند که یک بکدور نوشته شده به زبان Rust است که از اجرای فایل پشتیبانی میکند.
ایمپلنت RustBucket مجهز به جمع آوری اطلاعات اولیه سیستم، ارتباط با URL ارائه شده از طریق خط فرمان، و ایجاد تداوم دسترسی با استفاده از یک Launch Agent است که خود را به عنوان “به روزرسانی مرورگر سافاری” پنهان میکند تا با دامنه یک سرور فرماندهی و کنترل (C2) هاردکد شده ارتباط برقرار کند.
همانطور که در رخدادهای سایبری سالهای اخیر در 3CX و JumpCloud مشاهده شد، هدف قرار دادن سازمانهای Web3 توسط کره شمالی نیز فراتر از مهندسی اجتماعی است و حملات زنجیره تامین نرم افزار را در بر میگیرد.
هنگامی که از طریق بدافزار جا پایی ایجاد میشود، هکرها به سمت password managerها میروند تا نام کاربری و رمز عبور را بربایند، شناسایی داخلی را از طریق مخزن کد و اسناد انجام دهند و به سوی محیط میزبان ابری حرکت کنند و کلیدهای کیف پولهای hot را ربوده و در نهایت وجوه آنها را تخلیه کنند.
چندی پیش نیز حملاتی از این دست در لینکدین رخ داد! محققان آزمایشگاه Elastic Security، جزئیات یک حمله فیشینگ را در زوئن ۲۰۲۴ فاش کردند که از فرصتهای شغلی و استخدامی برای ارائه یک بدافزار مبتنی بر ویندوز به نام بکدور WARMCOOKIE سوء استفاده میکردند.
بکدور WARMCOOKIE، دارای قابلیتهایی برای شناسایی دستگاههای آلوده، گرفتن اسکرین شات و استقرار برنامههای مخرب است. آزمایشگاه Elastic Security، این فعالیت را تحت نام REF6127 دنبال میکند.
زنجیرههای حملهای که از اواخر آوریل مشاهده شدهاند شامل استفاده از پیامهای ایمیلی هستند که ظاهراً از سوی شرکتهای استخدامی مانند Hays، Michael Page و PageGroup ارسال میشوند. این ایمیلها از گیرندگان درخواست میکنند تا برای مشاهده جزئیات یک فرصت شغلی، بر روی لینک ارائه شده کلیک کنند.
قربانی پس از کلیک بر روی لینک، میبایست یک کد CAPTCHA را وارد نماید تا یک سند دانلود گردد. با اجرای این سند مخرب، یک فایل جاوا اسکریپت ” Update_23_04_2024_5689382.js” بر روی دستگاه قربانی مستقر خواهد شد.
حمله دیگر عکس این قضیه بود، یعنی نفوذ بدافزار more_eggs به استخدام کنندگان توسط فایل رزومه آلوده!
محققان شرکت امنیت سایبری کانادایی eSentire، فعالیتهای مربوط به یک حمله فیشینگ توسط بدافزار more_eggs را شناسایی کردند. این بدافزار در قالب رزومه استخدامی توزیع میشود و تکنیکی است که اولین بار بیش از دو سال پیش شناسایی شد.
eSentire، ششم ژوئن ۲۰۲۴ فاش کرد که این حمله بدافزاری، یک شرکت ناشناس در حوزه خدمات صنعتی را در ماه مِی مورد هدف قرار داده که البته ناموفق بوده است. قربانی مورد نظر، استخدام کنندهای میباشد که توسط فرد مهاجم در لینکدین فریب خورده و تصور کرده است که او متقاضی کار میباشد. مهاجم بدین ترتیب استخدام کننده را برای دریافت لودر بدافزار، به وب سایت خود کشانده است.
بدافزار More_eggs که گمان میرود توسط گروه Golden Chickens (معروف به Venom Spider) توسعه یافته، یک بکدور ماژولار است که قادر به جمع آوری اطلاعات حساس همچون نام کاربری و گذرواژه حسابهای بانکی شرکت، حسابهای ایمیل و حسابهای administrator میباشد. More_eggs تحت مدل بدافزار به عنوان یک سرویس (MaaS[1]) در دارک وب توزیع میشود.
تاکتیکهای مهندسی اجتماعی هر روز در حال بهبود و توسعه هستند. از این رو میبایست کاربران چه در مقام کارفرما و چه در مقام کارپذیر همیشه هشیار بوده و از راهکارهای امنیتی به روزرسانی شده در دستگاههای خود استفاده کنند تا بتوانند هر گونه بدافزاری را به موقع شناسایی کنند.
[1] Malware-as-a-Service
