Nordkorea-länkade hotaktörer ökar sina cyberoperationer med decentraliserade och svårupptäckta skadliga program, enligt nya fynd från Cisco Talos och Google Threat Intelligence Group.
Kampanjerna syftar till att stjäla kryptovaluta, infiltrera nätverk och undvika upptäckt genom sofistikerade jobbbedrägerier.
Utvecklande Malware-tekniker Speglar Expanderande Förmågor
Cisco Talos forskare identifierade en pågående kampanj av den nordkoreanska gruppen Famous Chollima. Gruppen har använt två kompletterande skadliga program, BeaverTail och OtterCookie. Dessa program, som traditionellt används för att stjäla inloggningsuppgifter och data, har nu utvecklats för att integrera nya funktioner och närmare samarbete.
I en nylig incident med en organisation i Sri Lanka, lurade angripare en arbetssökande att installera skadlig kod förklädd som en del av en teknisk utvärdering. Även om organisationen inte var ett direkt mål, observerade Cisco Talos analytiker också en tangentloggnings- och skärmdumpsmodul kopplad till OtterCookie, vilket belyser den bredare risken för individer inblandade i falska jobbannonser. Denna modul registrerade i hemlighet tangenttryckningar och fångade skrivbordsbilder, som automatiskt skickades till en fjärrserver.
Denna observation understryker den pågående utvecklingen av Nordkorea-länkade hotgrupper och deras fokus på social ingenjörsteknik för att kompromettera intet ont anande mål.
Blockchain används som en kommandoinfrastruktur
Googles Threat Intelligence Group (GTIG) identifierade en operation av en Nordkorea-länkad aktör, UNC5342. Gruppen använde ett nytt skadligt program kallat EtherHiding. Detta verktyg döljer skadliga JavaScript-payloads på en offentlig blockchain, vilket gör det till ett decentraliserat kommando- och kontrollnätverk (C2).
Genom att använda blockchain kan angripare ändra skadlig programvara på distans utan traditionella servrar. Rättsliga ingripanden blir mycket svårare. Dessutom rapporterade GTIG att UNC5342 använde EtherHiding i en social ingenjörskampanj kallad Contagious Interview, som tidigare identifierats av Palo Alto Networks, vilket visar på Nordkorea-länkade hotaktörers ihärdighet.
Riktar in sig på arbetssökande för att stjäla kryptovaluta och data
Enligt Googles forskare börjar dessa cyberoperationer vanligtvis med falska jobbannonser riktade mot yrkesverksamma inom kryptovaluta- och cybersäkerhetsindustrin. Offren bjuds in att delta i falska bedömningar, där de instrueras att ladda ner filer med inbäddad skadlig kod.
Infektionsprocessen involverar ofta flera skadliga program familjer, inklusive JadeSnow, BeaverTail och InvisibleFerret. Tillsammans ger de angripare tillgång till system, stjäl inloggningsuppgifter och distribuerar ransomware effektivt. Slutmålen sträcker sig från spionage och ekonomisk stöld till långsiktig nätverksinfiltration.
Cisco och Google har publicerat indikatorer på kompromiss (IOCs) för att hjälpa organisationer att upptäcka och svara på pågående Nordkorea-länkade cyberhot. Dessa resurser ger tekniska detaljer för att identifiera skadlig aktivitet och mildra potentiella intrång. Forskare varnar för att integrationen av blockchain och modulär skadlig programvara sannolikt kommer att fortsätta komplicera globala cybersäkerhetsförsvar.
