На участников угроз, связанных с Северной Кореей, приходится треть всей фишинговой активности, направленной против Бразилии с 2020 года, поскольку превращение страны во влиятельную державу привлекло внимание групп кибершпионажа.
"Поддерживаемые правительством Северной Кореи субъекты нацелились на правительство Бразилии и бразильский аэрокосмический сектор, технологический сектор и сектор финансовых услуг", - заявили подразделения Google Mandiant и Группы анализа угроз (TAG) (TAG) в совместном отчете, опубликованном на этой неделе.
"Подобно тому, как они нацеливаются на интересы в других регионах, особое внимание уделялось фирмам, занимающимся криптовалютами и финансовыми технологиями, и по меньшей мере три северокорейские группы нацелились на бразильские криптовалютные и финтех-компании".
Среди этих групп выделяется участник угрозы, отслеживаемый как UNC4899 (он же Jade Sleet, PUKCHONG и TraderTraitor), который нацелился на специалистов по криптовалютам с помощью троянского приложения Python, содержащего вредоносное ПО.
Цепочки атак включают обращение к потенциальным целям через социальные сети и отправку доброкачественного PDF-документа, содержащего должностное описание предполагаемой вакансии в известной криптовалютной фирме.
Если цель проявит интерес к предложению о работе, исполнитель угрозы последует ее примеру, отправив второй безвредный PDF-документ с опросником навыков и инструкциями по выполнению задания по программированию, загрузив проект с GitHub.
"Проект представлял собой троянское приложение на Python для получения цен на криптовалюту, которое было модифицировано для подключения к контролируемому злоумышленником домену для получения полезной нагрузки второго этапа при соблюдении определенных условий", - сказали исследователи Mandiant и TAG.
Это не первый случай, когда UNC4899, которому приписывают взлом JumpCloud в 2023 году, использует этот подход. В июле 2023 года GitHub предупредил об атаке социальной инженерии, целью которой было заставить сотрудников, работающих в компаниях, занимающихся блокчейном, криптовалютами, онлайн-гемблингом и кибербезопасностью, выполнять код, размещенный в репозитории GitHub, используя поддельные пакеты npm.
Кампании социальной инженерии на тему работы - постоянная тема среди северокорейских хакерских групп, технический гигант также обнаружил кампанию, организованную группой, которую он отслеживает как PAEKTUSAN, по доставке вредоносного ПО-загрузчика C ++, известного как AGAMEMNON, через вложения Microsoft Word, встроенные в фишинговые электронные письма.
"В одном примере ПЭКТУСАН создал учетную запись, выдающую себя за директора по персоналу бразильской аэрокосмической фирмы, и использовал ее для отправки фишинговых электронных писем сотрудникам второй бразильской аэрокосмической фирмы", - отметили исследователи, добавив, что кампании соответствуют длительной активности, отслеживаемой как операция Dream Job.
"В рамках отдельной кампании ПЭКТУСАН выдавал себя за рекрутера крупной аэрокосмической компании США и связывался с профессионалами в Бразилии и других регионах по электронной почте и в социальных сетях о потенциальных возможностях трудоустройства".
Google далее заявила, что заблокировала попытки другой северокорейской группы под названием PRONTO атаковать дипломатов с помощью приманки, связанной с денуклеаризацией и новостями, чтобы обманом заставить их посетить страницы сбора учетных данных или предоставить свои регистрационные данные для просмотра предполагаемого PDF-документа.
Разработка произошла через несколько недель после того, как Microsoft пролила свет на ранее недокументированного субъекта угрозы северокорейского происхождения под кодовым названием Moonstone Sleet, который выделял отдельных лиц и организации в секторах программного обеспечения и информационных технологий, образования и оборонно-промышленной базы с помощью программ-вымогателей и шпионских атак.
Среди тактик Moonstone Sleet следует отметить распространение вредоносного ПО через поддельные пакеты npm, опубликованные в реестре npm, зеркально отражающие UNC4899. Как уже говорилось, пакеты, связанные с двумя кластерами, имеют разные стили кода и структуры.
"Пакеты Jade Sleet, обнаруженные летом 2023 года, были разработаны для работы в парах, причем каждая пара публиковалась отдельной учетной записью пользователя npm для распространения их вредоносного функционала", - сказали исследователи Checkmarx Цачи Цорнштейн и Иегуда Гелб.
"Напротив, пакеты, опубликованные в конце 2023 и начале 2024 года, использовали более упрощенный подход к использованию одного пакета, который выполнял бы свою полезную нагрузку сразу после установки. Во втором квартале 2024 года сложность пакетов возросла, злоумышленники добавили обфускацию и нацелили ее также на системы Linux."
Независимо от различий, эта тактика злоупотребляет доверием пользователей к репозиториям с открытым исходным кодом, позволяя субъектам угрозы охватить более широкую аудиторию и повышая вероятность того, что один из их вредоносных пакетов может быть непреднамеренно установлен ничего не подозревающими разработчиками.
Раскрытие имеет важное значение, не в последнюю очередь потому, что оно знаменует расширение механизма распространения вредоносного ПО Moonstone Sleet, который ранее полагался на распространение поддельных пакетов npm с использованием LinkedIn и сайтов фрилансеров.
Выводы также следуют за открытием новой кампании социальной инженерии, предпринятой связанной с Северной Кореей группой Kimsuky, в которой она выдавала себя за информационное агентство Reuters, чтобы нацелить северокорейских правозащитников на распространение вредоносного ПО, крадущего информацию, под видом запроса на интервью, согласно Genians.
"Поддерживаемые правительством Северной Кореи субъекты нацелились на правительство Бразилии и бразильский аэрокосмический сектор, технологический сектор и сектор финансовых услуг", - заявили подразделения Google Mandiant и Группы анализа угроз (TAG) (TAG) в совместном отчете, опубликованном на этой неделе.
"Подобно тому, как они нацеливаются на интересы в других регионах, особое внимание уделялось фирмам, занимающимся криптовалютами и финансовыми технологиями, и по меньшей мере три северокорейские группы нацелились на бразильские криптовалютные и финтех-компании".
Среди этих групп выделяется участник угрозы, отслеживаемый как UNC4899 (он же Jade Sleet, PUKCHONG и TraderTraitor), который нацелился на специалистов по криптовалютам с помощью троянского приложения Python, содержащего вредоносное ПО.
Цепочки атак включают обращение к потенциальным целям через социальные сети и отправку доброкачественного PDF-документа, содержащего должностное описание предполагаемой вакансии в известной криптовалютной фирме.
Если цель проявит интерес к предложению о работе, исполнитель угрозы последует ее примеру, отправив второй безвредный PDF-документ с опросником навыков и инструкциями по выполнению задания по программированию, загрузив проект с GitHub.
"Проект представлял собой троянское приложение на Python для получения цен на криптовалюту, которое было модифицировано для подключения к контролируемому злоумышленником домену для получения полезной нагрузки второго этапа при соблюдении определенных условий", - сказали исследователи Mandiant и TAG.
Это не первый случай, когда UNC4899, которому приписывают взлом JumpCloud в 2023 году, использует этот подход. В июле 2023 года GitHub предупредил об атаке социальной инженерии, целью которой было заставить сотрудников, работающих в компаниях, занимающихся блокчейном, криптовалютами, онлайн-гемблингом и кибербезопасностью, выполнять код, размещенный в репозитории GitHub, используя поддельные пакеты npm.
Кампании социальной инженерии на тему работы - постоянная тема среди северокорейских хакерских групп, технический гигант также обнаружил кампанию, организованную группой, которую он отслеживает как PAEKTUSAN, по доставке вредоносного ПО-загрузчика C ++, известного как AGAMEMNON, через вложения Microsoft Word, встроенные в фишинговые электронные письма.
"В одном примере ПЭКТУСАН создал учетную запись, выдающую себя за директора по персоналу бразильской аэрокосмической фирмы, и использовал ее для отправки фишинговых электронных писем сотрудникам второй бразильской аэрокосмической фирмы", - отметили исследователи, добавив, что кампании соответствуют длительной активности, отслеживаемой как операция Dream Job.
"В рамках отдельной кампании ПЭКТУСАН выдавал себя за рекрутера крупной аэрокосмической компании США и связывался с профессионалами в Бразилии и других регионах по электронной почте и в социальных сетях о потенциальных возможностях трудоустройства".
Google далее заявила, что заблокировала попытки другой северокорейской группы под названием PRONTO атаковать дипломатов с помощью приманки, связанной с денуклеаризацией и новостями, чтобы обманом заставить их посетить страницы сбора учетных данных или предоставить свои регистрационные данные для просмотра предполагаемого PDF-документа.
Разработка произошла через несколько недель после того, как Microsoft пролила свет на ранее недокументированного субъекта угрозы северокорейского происхождения под кодовым названием Moonstone Sleet, который выделял отдельных лиц и организации в секторах программного обеспечения и информационных технологий, образования и оборонно-промышленной базы с помощью программ-вымогателей и шпионских атак.
Среди тактик Moonstone Sleet следует отметить распространение вредоносного ПО через поддельные пакеты npm, опубликованные в реестре npm, зеркально отражающие UNC4899. Как уже говорилось, пакеты, связанные с двумя кластерами, имеют разные стили кода и структуры.
"Пакеты Jade Sleet, обнаруженные летом 2023 года, были разработаны для работы в парах, причем каждая пара публиковалась отдельной учетной записью пользователя npm для распространения их вредоносного функционала", - сказали исследователи Checkmarx Цачи Цорнштейн и Иегуда Гелб.
"Напротив, пакеты, опубликованные в конце 2023 и начале 2024 года, использовали более упрощенный подход к использованию одного пакета, который выполнял бы свою полезную нагрузку сразу после установки. Во втором квартале 2024 года сложность пакетов возросла, злоумышленники добавили обфускацию и нацелили ее также на системы Linux."
Независимо от различий, эта тактика злоупотребляет доверием пользователей к репозиториям с открытым исходным кодом, позволяя субъектам угрозы охватить более широкую аудиторию и повышая вероятность того, что один из их вредоносных пакетов может быть непреднамеренно установлен ничего не подозревающими разработчиками.
Раскрытие имеет важное значение, не в последнюю очередь потому, что оно знаменует расширение механизма распространения вредоносного ПО Moonstone Sleet, который ранее полагался на распространение поддельных пакетов npm с использованием LinkedIn и сайтов фрилансеров.
Выводы также следуют за открытием новой кампании социальной инженерии, предпринятой связанной с Северной Кореей группой Kimsuky, в которой она выдавала себя за информационное агентство Reuters, чтобы нацелить северокорейских правозащитников на распространение вредоносного ПО, крадущего информацию, под видом запроса на интервью, согласно Genians.
