Trusselaktører knyttet til Nord-Korea eskalerer sine cyberoperasjoner ved å bruke desentraliserte og unnvikende malware-verktøy, ifølge nye funn fra Cisco Talos og Google Threat Intelligence Group.
Kampanjene har som mål å stjele kryptovaluta, infiltrere nettverk og unngå oppdagelse gjennom sofistikerte jobb-rekrutteringssvindler.
Utviklende malware-teknikker reflekterer økende evner
Cisco Talos-forskere identifiserte en pågående kampanje av den nordkoreanske gruppen Famous Chollima. Gruppen har brukt to komplementære malware-varianter, BeaverTail og OtterCookie. Disse programmene, som tradisjonelt har blitt brukt for å stjele legitimasjon og dataeksfiltrering, har nå utviklet seg til å integrere nye funksjoner og tettere samarbeid.
I en nylig hendelse som involverte en organisasjon i Sri Lanka, lokket angripere en jobbsøker til å installere ondsinnet kode forkledd som en del av en teknisk evaluering. Selv om organisasjonen selv ikke var et direkte mål, observerte Cisco Talos-analytikere også en tastelogging- og skjermbilde-modul knyttet til OtterCookie, som fremhever den bredere risikoen for enkeltpersoner involvert i falske jobbtilbud. Denne modulen registrerte i hemmelighet tastetrykk og fanget skrivebordsbilder, og sendte dem automatisk til en ekstern kommando-server.
Denne observasjonen understreker den pågående utviklingen av Nord-Korea-tilknyttede trusselgrupper og deres fokus på sosialteknikk for å kompromittere intetanende mål.
Blokkjede brukt som kommandoinfrastruktur
Googles Threat Intelligence Group (GTIG) identifiserte en operasjon av en Nord-Korea-tilknyttet aktør, UNC5342. Gruppen brukte en ny malware kalt EtherHiding. Dette verktøyet skjuler ondsinnede JavaScript-payloads på en offentlig blokkjede, og gjør den til et desentralisert kommando- og kontrollnettverk (C2).
Ved å bruke blokkjede kan angripere endre malware-oppførsel eksternt uten tradisjonelle servere. Nedstengninger fra rettshåndhevelse blir mye vanskeligere. Videre rapporterte GTIG at UNC5342 brukte EtherHiding i en sosialteknikk-kampanje kalt Contagious Interview, som tidligere hadde blitt identifisert av Palo Alto Networks, og demonstrerte utholdenheten til Nord-Korea-tilknyttede trusselaktører.
Rettet mot jobbsøkere for å stjele kryptovaluta og data
Ifølge Google-forskere begynner disse cyberoperasjonene vanligvis med falske jobbannonser rettet mot fagfolk i kryptovaluta- og cybersikkerhetsindustrien. Ofrene blir invitert til å delta i falske vurderinger, hvor de blir instruert til å laste ned filer med innebygd ondsinnet kode.
Infeksjonsprosessen involverer ofte flere malware-familier, inkludert JadeSnow, BeaverTail og InvisibleFerret. Sammen lar de angripere få tilgang til systemer, stjele legitimasjon og distribuere løsepengevirus effektivt. Sluttmålene spenner fra spionasje og økonomisk tyveri til langsiktig nettverksinfiltrasjon.
Cisco og Google har publisert indikatorer på kompromittering (IOCs) for å hjelpe organisasjoner med å oppdage og svare på pågående Nord-Korea-tilknyttede cybertrusler. Disse ressursene gir tekniske detaljer for å identifisere ondsinnet aktivitet og redusere potensielle brudd. Forskere advarer om at integrasjonen av blokkjede og modulær malware sannsynligvis vil fortsette å komplisere globale cybersikkerhetsforsvarsinnsatser.
