Aktorzy zagrożeń powiązani z Koreą Północną odpowiadali za jedną trzecią wszystkich działań phishingowych wymierzonych w Brazylię od 2020 r., ponieważ pojawienie się tego kraju jako wpływowej potęgi przyciągnęło uwagę grup cyberszpiegowskich.
“Podmioty wspierane przez rząd Korei Północnej atakowały brazylijski rząd oraz brazylijski sektor lotniczy, technologiczny i usług finansowych” – stwierdziły oddziały Google Mandiant i Threat Analysis Group (TAG) we wspólnym raporcie opublikowanym w tym tygodniu.
“Podobnie jak w innych regionach, firmy zajmujące się kryptowalutami i technologiami finansowymi były przedmiotem szczególnego zainteresowania, a co najmniej trzy północnokoreańskie grupy były celem brazylijskich firm kryptowalutowych i fintechowych”.
Wśród tych grup wyróżnia się aktor zagrożeń śledzony jako UNC4899 (znany również jako Jade Sleet, PUKCHONG i TraderTraitor), który atakował specjalistów od kryptowalut za pomocą złośliwego oprogramowania trojanizowanego w aplikacji Python.
Łańcuchy ataków polegają na docieraniu do potencjalnych celów za pośrednictwem mediów społecznościowych i wysyłaniu łagodnego dokumentu PDF zawierającego opis rzekomej oferty pracy w znanej firmie kryptowalutowej.
“Podmioty wspierane przez rząd Korei Północnej atakowały brazylijski rząd oraz brazylijski sektor lotniczy, technologiczny i usług finansowych”
Jeśli cel wyrazi zainteresowanie ofertą pracy, aktor zagrożenia podąża za nim, wysyłając drugi nieszkodliwy dokument PDF z kwestionariuszem umiejętności i instrukcjami wykonania zadania kodowania poprzez pobranie projektu z GitHub.
“Projekt był trojanizowaną aplikacją Pythona do pobierania cen kryptowalut, która została zmodyfikowana, aby dotrzeć do domeny kontrolowanej przez atakującego w celu pobrania ładunku drugiego etapu, jeśli spełnione zostaną określone warunki” – stwierdzili badacze Mandiant i TAG.
To nie pierwszy raz, kiedy UNC4899, który został przypisany do włamania JumpCloud w 2023 roku, wykorzystał to podejście. W lipcu 2023 r. GitHub ostrzegł przed atakiem socjotechnicznym, który miał na celu nakłonienie pracowników pracujących w firmach zajmujących się blockchainem, kryptowalutami, hazardem online i cyberbezpieczeństwem do wykonania kodu hostowanego w repozytorium GitHub przy użyciu fałszywych pakietów npm.
Kampanie socjotechniczne o tematyce pracy są powtarzającym się tematem wśród północnokoreańskich grup hakerskich, a gigant technologiczny zauważył również kampanię zorganizowaną przez grupę, którą śledzi jako PAEKTUSAN, w celu dostarczenia złośliwego oprogramowania do pobierania C++ o nazwie AGAMEMNON za pośrednictwem załączników Microsoft Word osadzonych w wiadomościach phishingowych.
“W jednym przykładzie PAEKTUSAN utworzył konto podszywające się pod dyrektora HR w brazylijskiej firmie lotniczej i wykorzystał je do wysyłania wiadomości phishingowych do pracowników drugiej brazylijskiej firmy lotniczej” – zauważyli naukowcy, dodając, że kampanie są zgodne z długotrwałą działalnością śledzoną jako Operacja Dream Job.
“W oddzielnej kampanii PAEKTUSAN podszywał się pod rekrutera w dużej amerykańskiej firmie lotniczej i docierał do specjalistów w Brazylii i innych regionach za pośrednictwem poczty elektronicznej i mediów społecznościowych w sprawie potencjalnych ofert pracy”.
Google poinformowało również, że zablokowało próby innej północnokoreańskiej grupy o nazwie PRONTO, która atakowała dyplomatów za pomocą wabików e-mailowych związanych z denuklearyzacją i wiadomościami, aby nakłonić ich do odwiedzenia stron zbierających dane uwierzytelniające lub podania danych logowania w celu wyświetlenia rzekomego dokumentu PDF.
Rozwój sytuacji nastąpił kilka tygodni po tym, jak Microsoft rzucił światło na wcześniej nieudokumentowanego aktora zagrożeń pochodzenia północnokoreańskiego, o kryptonimie Moonstone Sleet, który wyróżnił osoby i organizacje z sektorów oprogramowania i technologii informatycznych, edukacji i obronnej bazy przemysłowej zarówno za pomocą ransomware, jak i ataków szpiegowskich.
Wśród godnych uwagi taktyk Moonstone Sleet jest dystrybucja złośliwego oprogramowania za pośrednictwem fałszywych pakietów npm opublikowanych w rejestrze npm, odzwierciedlających pakiet UNC4899. Wspomniane pakiety powiązane z dwoma klastrami mają różne style i struktury kodu.
“Pakiety Jade Sleet, odkryte latem 2023 r., zostały zaprojektowane do pracy w parach, a każda para została opublikowana przez oddzielne konto użytkownika npm w celu dystrybucji ich złośliwej funkcjonalności” – powiedzieli badacze Checkmarx Tzachi Zornstein i Yehuda Gelb.
“Natomiast pakiety opublikowane pod koniec 2023 r. i na początku 2024 r. przyjęły bardziej usprawnione podejście jednopakietowe, które wykonywało ładunek natychmiast po instalacji. W drugim kwartale 2024 r. pakiety stały się bardziej złożone, a atakujący dodali zaciemnianie i skierowali je również na systemy Linux”.
Niezależnie od różnic, taktyka ta nadużywa zaufania użytkowników do repozytoriów open source, umożliwiając podmiotom stanowiącym zagrożenie dotarcie do szerszego grona odbiorców i zwiększając prawdopodobieństwo, że jeden z ich złośliwych pakietów może zostać nieumyślnie zainstalowany przez nieświadomych programistów.
Ujawnienie jest znaczące, nie tylko dlatego, że oznacza rozszerzenie mechanizmu dystrybucji złośliwego oprogramowania Moonstone Sleet, który wcześniej polegał na rozpowszechnianiu fałszywych pakietów npm za pomocą LinkedIn i witryn freelancerów.
Ustalenia te są również następstwem odkrycia nowej kampanii socjotechnicznej podjętej przez powiązaną z Koreą Północną grupę Kimsuky, w której podszywała się ona pod agencję informacyjną Reuters, aby dotrzeć do północnokoreańskich działaczy na rzecz praw człowieka w celu dostarczenia złośliwego oprogramowania wykradającego informacje pod pozorem prośby o wywiad, według Genians.
