朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

admin 2024年9月9日11:42:47评论25 views字数 4099阅读13分39秒阅读模式

导 

据观察,与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。

谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示,这些攻击采用编码测试作为常见的初始感染媒介。

研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示:“在最初的聊天对话之后,攻击者发送了一个 ZIP 文件,其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。”

该恶意软件充当启动器,通过下载第二阶段有效负载(该负载通过启动代理和启动守护进程建立持久性)来危害目标的 macOS 系统。

值得指出的是,这是朝鲜黑客组织开展的众多活动集群之一,这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。

招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。

Mandiant 表示,它观察到一项社会工程活动,该活动发送了一份恶意 PDF,伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。

“恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件,这是一个用 Rust 编写的支持文件执行的后门。”

RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信,并使用伪装成“Safari 更新”的启动代理设置持久性,以便联系硬编码的命令和控制 (C2) 域。

朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学,还包括软件供应链攻击,正如近年来针对3CX和JumpCloud的事件所观察到的那样。

Mandiant 表示:“一旦通过恶意软件建立立足点,攻击者就会转向密码管理器窃取凭证,通过代码库和文档进行内部侦察,并进入云托管环境以泄露热钱包密钥并最终耗尽资金。”

此事披露之际,美国联邦调查局 (FBI) 警告称,朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。

这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人,向其提供就业或投资,这被视为明目张胆的加密货币盗窃的渠道。

值得注意的是,他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究,以及编造个性化的虚假场景,试图吸引潜在受害者并增加攻击成功的可能性。

联邦调查局表示:“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节”,并强调他们试图建立融洽关系并最终传播恶意软件。

“如果成功建立双向联系,最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触,以增加合法性、产生熟悉感和信任度。”

技术报告:https://cloud.google.com/blog/topics/threat-intelligence/examining-web3-heists/

新闻链接:

https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html

朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

今日安全资讯速递

APT事件

Advanced Persistent Threat

与伊朗有关的黑客组织加大对美国关键基础设施的网络攻击

https://www.cybersecuritydive.com/news/iran-cyberattacks-us-critical-infrastructure/725877/

朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html

伦敦交通局遭受网络攻击后面临系统中断

https://www.bleepingcomputer.com/news/security/transport-for-london-staff-faces-systems-disruptions-after-cyberattack/

Stately Taurus APT组织滥用 VSCode 攻击亚洲目标

https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/

乌克兰士兵遭恶意软件攻击,黑客窃取 GPS 坐标

https://cybernews.com/cyber-war/ukrainian-soldiers-targeted-with-data-stealing-malware/

美国政府及其盟友警告:俄罗斯军事黑客与关键基础设施攻击有关

https://www.bleepingcomputer.com/news/security/us-and-allies-link-russian-military-hackers-behind-critical-infrastructure-attacks-to-gru-unit-29155/

黑客组织Earth Lusca 使用新的后门 KTLVdoor 对中国一家贸易公司进行攻击

https://securityaffairs.com/168078/malware/earth-lusca-malware-ktlvdoor.html

一般威胁事件

General Threat Incidents

黑客利用 GeoServer 漏洞传播后门和僵尸网络恶意软件

https://thehackernews.com/2024/09/geoserver-vulnerability-targeted-by.html

适应性强的 Cicada3301 勒索软件攻击 Windows 和 Linux PC

https://hi-tech.ua/en/the-adaptable-cicada3301-ransomware-attacks-windows-and-linux-pcs/

美国及其盟友指责俄罗斯军方发动破坏性网络攻击

https://www.infosecurity-magazine.com/news/us-allies-russian-military-cyber/

Stately Taurus APT组织滥用 VSCode 攻击亚洲目标

https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/

乌克兰士兵遭恶意软件攻击,黑客窃取 GPS 坐标

https://cybernews.com/cyber-war/ukrainian-soldiers-targeted-with-data-stealing-malware/

漏洞事件

Vulnerability Incidents

CISA 将 Draytek VigorConnect 和金山 WPS Office 漏洞添加到其已知利用漏洞目录中

https://securityaffairs.com/168153/security/cisa-draytek-vigorconnect-kingsoft-wps-office-bugs-known-exploited-vulnerabilities-catalog.html

CISA 打破沉默,揭露备受争议的“机场安检绕过”漏洞

https://www.securityweek.com/cisa-responds-after-disclosure-of-controversial-airport-security-bypass-vulnerability/

SonicWall 警告客户,最近修补的严重漏洞 CVE-2024-40766 可能会被利用

https://www.securityweek.com/recent-sonicwall-firewall-vulnerability-potentially-exploited-in-the-wild/

LiteSpeed Cache 插件漏洞导致数百万 WordPress 网站遭受攻击

https://www.securityweek.com/litespeed-cache-plugin-vulnerability-exposes-millions-of-wordpress-sites-to-attacks/

WordPress 的 LiteSpeed Cache 插件中发现严重安全漏洞

https://thehackernews.com/2024/09/critical-security-flaw-found-in.html

Apache OFBiz 更新修复了导致远程代码执行的高危漏洞

https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html

Microsoft Office 2024 将默认禁用 ActiveX 控件

https://www.bleepingcomputer.com/news/microsoft/microsoft-office-2024-to-disable-activex-controls-by-default/

Veeam 修补企业产品中的严重漏洞,包括 5 个严重级别RCE漏洞

https://www.securityweek.com/veeam-patches-critical-vulnerabilities-in-enterprise-products/

严重 Progress LoadMaster 漏洞使攻击者可执行任意代码

https://cybersecuritynews.com/critical-progress-loadmaster-vulnerability/

朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日11:42:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件https://cn-sec.com/archives/3145859.html

发表评论

匿名网友 填写信息