กลุ่มผู้โจมตีจากเกาหลีเหนือใช้มัลแวร์ COVERTCATCH ล่อลวงเหยื่อผ่านการหางานบน LinkedIn

กลุ่มผู้โจมตีจากเกาหลีเหนือถูกพบว่าใช้ LinkedIn เป็นช่องทางในการโจมตีนักพัฒนาซอฟต์แวร์ โดยใช้วิธีการล่อลวงเหยื่อจากเรื่องของการรับสมัครงานปลอม

Mandiant บริษัทในเครือของ Google ระบุในรายงานฉบับใหม่เกี่ยวกับภัยคุกคาม Web3 sector ว่า การโจมตีเหล่านี้ใช้การทดสอบการเขียนโค้ดเป็นวิธีหลักในการเริ่มต้นการแพร่กระจายมัลแวร์

นักวิจัย Robert Wallace, Blas Kojusner และ Joseph Dobson ระบุว่า "หลังจากการสนทนาแชทเบื้องต้น ผู้โจมตีจะส่งไฟล์ ZIP ที่มีมัลแวร์ COVERTCATCH ซึ่งถูกปลอมมาให้ดูเหมือนเป็นโจทย์การเขียนโค้ด Python"

มัลแวร์ตัวนี้จะทำหน้าที่เป็นจุดเริ่มต้นในการโจมตีระบบ macOS ของเป้าหมาย โดยการดาวน์โหลด second-stage payload ที่สามารถแอบแฝงอยู่ในระบบผ่าน Launch Agents และ Launch Daemons

มีการระบุว่า เหตุการณ์นี้เป็นหนึ่งในหลายกลุ่มหางานที่ถูกใช้เป็นแหล่งในการแพร่กระจายมัลแวร์ เช่น Operation Dream Job, Contagious Interview และอื่น ๆ ที่ดำเนินการโดยกลุ่มแฮ็กเกอร์จากเกาหลีเหนือ ซึ่งจะใช้การแอบอ้างล่อลวงเหยื่อที่กำลังหางาน เพื่อติดตั้งมัลแวร์ในเครื่องของเหยื่อ

การใช้วิธีล่อลวงที่เกี่ยวกับการรับสมัครงานยังเป็นกลยุทธ์ที่พบบ่อยในการแพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น RustBucket และ KANDYKORN

Mandiant ระบุว่าได้พบวิธีการล่อลวงเหยื่อผ่านทาง social engineering โดยผู้โจมตีจะส่งไฟล์ PDF ที่เป็นอันตราย ซึ่งถูกปลอมให้ดูเหมือนเป็นคำอธิบายของงานในตำแหน่ง "รองประธานฝ่ายการเงิน และการดำเนินงาน" ในบริษัทแลกเปลี่ยนคริปโตเคอร์เรนซีชื่อดังแห่งหนึ่ง

"ไฟล์ PDF ที่เป็นอันตรายนี้จะดาวน์โหลด second-stage malware ที่รู้จักกันในชื่อ RustBucket ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Rust และสามารถสั่งให้เครื่องเป้าหมายเรียกใช้ไฟล์ต่าง ๆ ได้"

มัลแวร์ RustBucket มีความสามารถในการเก็บรวบรวมข้อมูลพื้นฐานของระบบ, การสื่อสาร กับ URL ที่ระบุผ่านคำสั่ง และแฝงอยู่ในระบบโดยใช้ Launch Agent ที่ปลอมตัวเป็น "Safari Update" เพื่อเชื่อมต่อกับโดเมนที่ควบคุม และสั่งการ (C2) ที่ถูกเขียนไว้แบบ hard-coded

การโจมตีเป้าหมายของกลุ่มเกาหลีเหนือที่มุ่งเน้นไปยังองค์กร Web3 นอกเหนือจากวิธีการ social engineering ยังรวมถึงการโจมตีแบบ supply chain attacks ดังที่เห็นในเหตุการณ์ที่มุ่งเป้าไปที่ 3CX และ JumpCloud ในช่วงไม่กี่ปีที่ผ่านมา

Mandiant ระบุว่า "เมื่อมีการสร้างฐานโจมตีด้วยมัลแวร์ ผู้โจมตีจะเปลี่ยนไปใช้โปรแกรมจัดการรหัสผ่านเพื่อขโมยข้อมูลสำคัญ ทำการสำรวจภายในคลังเอกสาร และเจาะเข้าสู่ cloud hosting เพื่อค้นหาคีย์ของกระเป๋าเงินดิจิทัล (hot wallet) และในที่สุดก็จะสามารถดึงเงินออกไปได้"

การเปิดเผยนี้เกิดขึ้นจากคำเตือนของสำนักงานสอบสวนกลางสหรัฐ (FBI) เกี่ยวกับกลุ่มผู้โจมตีจากเกาหลีเหนือที่กำลังมุ่งเป้าหมายไปที่อุตสาหกรรมคริปโตเคอร์เรนซี โดยใช้วิธีการ social engineering campaigns ที่ถูกออกแบบมาโดยเฉพาะ และตรวจจับได้ยาก

ความพยายามอย่างต่อเนื่องเหล่านี้ ซึ่งแอบอ้างเป็นบริษัทจัดหางาน หรือบุคคลที่เหยื่ออาจรู้จักเป็นการส่วนตัว หรือทางอ้อม พร้อมข้อเสนอการจ้างงาน หรือการลงทุน ถูกมองว่าเป็นช่องทางสำหรับการขโมยคริปโตเคอร์เรนซีอย่างโจ่งแจ้ง ซึ่งถูกออกแบบมาเพื่อสร้างรายได้ที่ผิดกฎหมายให้แก่ประเทศที่ถูกคว่ำบาตรทางเศรษฐกิจ

หนึ่งในกลยุทธ์ที่สำคัญที่ใช้ ได้แก่ การระบุธุรกิจที่เกี่ยวข้องกับ cryptocurrency ที่น่าสนใจ การศึกษาทำวิจัยอย่างละเอียดก่อนดำเนินการโจมตีเป้าหมาย และการสร้างสถานการณ์ที่ถูกปรับแต่งเฉพาะบุคคล เพื่อพยายามล่อลวงเหยื่อ และเพิ่มโอกาสความสำเร็จในการโจมตี

FBI ระบุว่า "ผู้โจมตีอาจอ้างถึงข้อมูลส่วนตัว, ความสนใจ, ความสัมพันธ์, เหตุการณ์, ความสัมพันธ์ส่วนบุคคล, ความเชื่อมโยงทางวิชาชีพ หรือรายละเอียดที่เหยื่ออาจเชื่อว่ามีเพียงไม่กี่คนที่รู้" โดยเน้นย้ำถึงความพยายามในการสร้างความสัมพันธ์กับเหยื่อ และในที่สุดก็ส่งมัลแวร์ให้กับเหยื่อ

"หากประสบความสำเร็จในการติดต่อสนทนากับเหยื่อได้ ผู้โจมตีคนแรก หรือสมาชิกคนอื่นในทีมของผู้โจมตี อาจใช้เวลานานในการมีส่วนร่วมพูดคุยกับเหยื่อ เพื่อให้เหยื่อเกิดความรู้สึกถึงความถูกต้อง และสร้างความคุ้นเคย และความไว้วางใจ"

ที่มา : thehackernews