Ayon sa bagong findings mula sa Cisco Talos at Google Threat Intelligence Group, pinalalakas ng mga threat actors na konektado sa North Korea ang kanilang cyber operations gamit ang decentralized at evasive na malware tools.
Layunin ng mga campaign na ito na magnakaw ng cryptocurrency, makapasok sa mga network, at umiwas sa detection gamit ang mga sopistikadong job recruitment scams.
Nagle-level Up ang Malware Techniques, Lumalawak ang Kakayahan
Natukoy ng mga researcher ng Cisco Talos ang isang patuloy na campaign ng North Korean group na Famous Chollima. Gumamit ang grupo ng dalawang complementary malware strains, ang BeaverTail at OtterCookie. Ang mga programang ito, na karaniwang ginagamit para sa credential theft at data exfiltration, ay nag-evolve na ngayon para mag-integrate ng bagong functionalities at mas malapit na interoperation.
Sa isang kamakailang insidente na kinasasangkutan ng isang organisasyon sa Sri Lanka, niloko ng mga attackers ang isang job seeker na mag-install ng malicious code na nakatago bilang bahagi ng technical evaluation. Kahit hindi direktang target ang organisasyon, napansin din ng mga analyst ng Cisco Talos ang isang keylogging at screenshotting module na konektado sa OtterCookie, na nagpapakita ng mas malawak na panganib sa mga indibidwal na sangkot sa pekeng job offers. Ang module na ito ay palihim na nagre-record ng keystrokes at kumukuha ng desktop images, na automatic na ipinapadala sa isang remote command server.
Ipinapakita ng obserbasyong ito ang patuloy na pag-evolve ng mga threat groups na konektado sa North Korea at ang kanilang focus sa social engineering techniques para ma-kompromiso ang mga hindi nagdududang target.
Blockchain Ginagamit Bilang Command Infrastructure
Natukoy ng Google’s Threat Intelligence Group (GTIG) ang isang operasyon ng North Korea-linked actor na UNC5342. Gumamit ang grupo ng bagong malware na tinatawag na EtherHiding. Ang tool na ito ay nagtatago ng malicious JavaScript payloads sa isang public blockchain, ginagawa itong isang decentralized command and control (C2) network.
Sa paggamit ng blockchain, kayang baguhin ng mga attackers ang behavior ng malware nang remote nang hindi gumagamit ng traditional servers. Mas mahirap na ngayon para sa law enforcement na i-take down ito. Bukod pa rito, iniulat ng GTIG na ginamit ng UNC5342 ang EtherHiding sa isang social engineering campaign na tinawag na Contagious Interview, na dati nang natukoy ng Palo Alto Networks, na nagpapakita ng pagpupursige ng mga threat actors na konektado sa North Korea.
Mga Job Seeker, Target ng Crypto at Data Theft
Ayon sa mga researcher ng Google, karaniwang nagsisimula ang mga cyber operations na ito sa pekeng job postings na nakatuon sa mga propesyonal sa cryptocurrency at cybersecurity industries. Inaanyayahan ang mga biktima na sumali sa mga pekeng assessments, kung saan sila ay inuutusan na mag-download ng mga file na may kasamang malicious code.
Kadalasang kasama sa proseso ng infection ang iba’t ibang malware families, kabilang ang JadeSnow, BeaverTail, at InvisibleFerret. Sama-sama, pinapayagan nila ang mga attackers na makapasok sa mga system, magnakaw ng credentials, at mag-deploy ng ransomware nang epektibo. Ang mga end goals ay mula sa espiya at pagnanakaw ng pera hanggang sa pangmatagalang infiltration ng network.
Nag-publish ang Cisco at Google ng indicators of compromise (IOCs) para makatulong sa mga organisasyon na ma-detect at makapag-respond sa mga patuloy na banta ng cyber na konektado sa North Korea. Ang mga resources na ito ay nagbibigay ng technical details para sa pagtukoy ng malicious activity at pag-mitigate ng potential breaches. Nagbabala ang mga researcher na ang integration ng blockchain at modular malware ay malamang na patuloy na magpapahirap sa global cybersecurity defense efforts.