朝鲜黑客利用复杂的网络钓鱼策略攻击巴西金融科技公司

自2020年以来，在针对巴西的所有网络钓鱼活动中，与朝鲜有关的威胁行为者占了三分之一，因为巴西作为一个有影响力的大国的崛起吸引了网络间谍组织的注意。

谷歌的Mandiant和威胁分析集团(TAG)部门在本周发布的一份联合报告中表示:“朝鲜政府支持的黑客已经将巴西政府以及巴西的航空航天、技术和金融服务部门作为攻击目标。”

“与他们在其他地区的目标利益类似，加密货币和金融科技公司一直是特别关注的焦点，至少有三个朝鲜集团瞄准了巴西的加密货币和金融科技公司。”

在这些组织中，最突出的是一个名为UNC4899(又名Jade Sleet、PUKCHONG和TraderTraitor)的威胁行为者，该组织利用带有恶意软件的木马Python应用程序来攻击加密货币专业人士。

攻击链包括通过社交媒体联系潜在目标，并发送一份良性PDF文件，其中包含一家知名加密货币公司的工作机会的职位描述。

如果目标表示对工作机会感兴趣，威胁行为者会发送第二份无害的PDF文件，其中包含技能问卷和指导，要求目标通过从GitHub下载项目来完成编码任务。

Mandiant和TAG的研究人员表示:“该项目是一个木马化的Python应用程序，用于检索加密货币价格，该应用程序经过修改，可以在满足特定条件的情况下接触攻击者控制的域，以检索第二阶段的有效载荷。”

这并不是UNC4899第一次利用这种方法，它被认为是2023年JumpCloud黑客攻击的结果。2023年7月，GitHub警告称，一场社会工程攻击试图欺骗区块链、加密货币、在线赌博和网络安全公司的员工，让他们使用伪造的npm包执行托管在GitHub存储库中的代码。

以工作为主题的社会工程活动是朝鲜黑客组织中反复出现的一个主题，这家科技巨头还发现了一个由它追踪的组织PAEKTUSAN精心策划的活动，该组织通过嵌入在网络钓鱼电子邮件中的微软Word附件，传播一种名为AGAMEMNON的C下载恶意软件。

研究人员指出:“在一个例子中，PAEKTUSAN创建了一个账户，冒充一家巴西航空航天公司的人力资源总监，并用它向另一家巴西航空航天公司的员工发送网络钓鱼邮件。”研究人员补充说，这些活动与长期以来被追踪为“梦想工作行动”的活动一致。

“在另一场活动中，PAEKTUSAN伪装成美国一家大型航空航天公司的招聘人员，通过电子邮件和社交媒体向巴西和其他地区的专业人士介绍潜在的工作机会。”

谷歌进一步表示，它阻止了另一个名为PRONTO的朝鲜组织以外交官为目标，用无核化和新闻相关的电子邮件诱骗他们访问凭证收集页面或提供登录信息，以查看所谓的PDF文件。

就在几周前，微软披露了一个代号为“月光石雨雪”(Moonstone Sleet)、此前未被记录在案的来自朝鲜的威胁行为者，该组织专门针对软件和信息技术、教育和国防工业基础领域的个人和组织进行勒索软件和间谍攻击。

Moonstone Sleet的一个值得注意的策略是通过发布在npm注册表上的假冒npm包来分发恶意软件，这与UNC4899的做法类似。也就是说，与这两个集群相关联的包具有不同的代码风格和结构。

Checkmarx的研究人员Tzachi Zornstein和Yehuda Gelb说:“Jade Sleet的软件包是在2023年夏天被发现的，它们被设计成成对工作，每对都由一个单独的npm用户账户发布，以传播它们的恶意功能。”

相比之下，在2023年底和2024年初发布的软件包采用了更精简的单包方法，在安装后立即执行其有效载荷。在2024年第二季度，这些软件包的复杂性增加了，攻击者增加了混淆，并将Linux系统作为攻击目标。”

尽管存在差异，但这种策略滥用了用户对开源存储库的信任，使威胁行为者能够接触到更广泛的受众，并增加了他们的恶意软件包被不知情的开发人员无意中安装的可能性。

此次披露意义重大，尤其是因为它标志着Moonstone Sleet恶意软件传播机制的扩展，该机制以前依赖于使用LinkedIn和自由职业者网站传播虚假的npm包。

根据Genians的说法，调查结果还发现了与朝鲜有关的Kimsuky组织进行的一项新的社会工程活动，其中它冒充路透社，以朝鲜人权活动家为目标，以采访请求为幌子，提供窃取信息的恶意软件。

原文始发于微信公众号（HackSee）：朝鲜黑客利用复杂的网络钓鱼策略攻击巴西金融科技公司