Nordkorea-relaterede trusselsaktører intensiverer deres cyberoperationer ved at bruge decentraliserede og undvigende malwareværktøjer, ifølge nye fund fra Cisco Talos og Google Threat Intelligence Group.
Kampagnerne har til formål at stjæle kryptovaluta, infiltrere netværk og undgå opdagelse gennem sofistikerede jobrekrutteringssvindel.
Udviklende malware-teknikker afspejler voksende kapaciteter
Cisco Talos-forskere identificerede en igangværende kampagne fra den nordkoreanske gruppe Famous Chollima. Gruppen har brugt to komplementære malwaretyper, BeaverTail og OtterCookie. Disse programmer, der traditionelt bruges til at stjæle legitimationsoplysninger og dataudtræk, er nu udviklet til at integrere nye funktioner og tættere samarbejde.
I en nylig hændelse, der involverede en organisation i Sri Lanka, lokkede angribere en jobsøger til at installere ondsindet kode, der var forklædt som en del af en teknisk evaluering. Selvom organisationen ikke var et direkte mål, observerede Cisco Talos-analytikere også et keylogging- og skærmbillede-modul knyttet til OtterCookie, hvilket fremhæver den bredere risiko for personer involveret i falske jobtilbud. Dette modul registrerede skjult tastetryk og optog skrivebordsbilleder, som automatisk blev sendt til en fjernkommandoserver.
Denne observation understreger den fortsatte udvikling af Nordkorea-tilknyttede trusselsgrupper og deres fokus på social engineering-teknikker for at kompromittere intetanende mål.
Blockchain brugt som en kommandoinfrastruktur
Googles Threat Intelligence Group (GTIG) identificerede en operation af en Nordkorea-relateret aktør, UNC5342. Gruppen brugte en ny malware kaldet EtherHiding. Dette værktøj skjuler ondsindede JavaScript-payloads på en offentlig blockchain, hvilket gør det til et decentraliseret kommando- og kontrolnetværk (C2).
Ved at bruge blockchain kan angribere ændre malware-adfærd eksternt uden traditionelle servere. Retshåndhævelsesnedtagninger bliver meget sværere. Desuden rapporterede GTIG, at UNC5342 anvendte EtherHiding i en social engineering-kampagne kaldet Contagious Interview, som tidligere var blevet identificeret af Palo Alto Networks, hvilket demonstrerer vedholdenheden af Nordkorea-tilknyttede trusselsaktører.
Målretning af jobsøgende for at stjæle kryptovaluta og data
Ifølge Google-forskere begynder disse cyberoperationer typisk med bedrageriske jobopslag rettet mod fagfolk i kryptovaluta- og cybersikkerhedsindustrien. Ofrene inviteres til at deltage i falske vurderinger, hvor de instrueres i at downloade filer indlejret med ondsindet kode.
Infektionsprocessen involverer ofte flere malware-familier, herunder JadeSnow, BeaverTail og InvisibleFerret. Sammen giver de angribere mulighed for at få adgang til systemer, stjæle legitimationsoplysninger og effektivt implementere ransomware. Slutmålene spænder fra spionage og økonomisk tyveri til langvarig netværksinfiltration.
Cisco og Google har offentliggjort indikatorer for kompromittering (IOCs) for at hjælpe organisationer med at opdage og reagere på igangværende Nordkorea-relaterede cybertrusler. Disse ressourcer giver tekniske detaljer til at identificere ondsindet aktivitet og afbøde potentielle brud. Forskere advarer om, at integrationen af blockchain og modulær malware sandsynligvis vil fortsætte med at komplicere globale cybersikkerhedsforsvarsindsatser.
