据不雅察,与朝鲜联系的黑客组织欺诈 LinkedIn 来针对拓荒东说念主员进行空虚招聘步履。
谷歌旗下的 Mandiant 在一份联系 Web3 限制濒临恫吓的新呈文中默示,这些膺惩摄取编码测试算作常见的启动感染序论。
决议东说念主员 Robert Wallace、Blas Kojusner 和 Joseph Dobson默示:“在开始的聊天对话之后,膺惩者发送了一个 ZIP 文献,其中包含伪装成 Python 编码的 COVERTCATCH 坏心软件。”
该坏心软件充任启动器,通过下载第二阶段灵验负载(该负载通过启动代理和启动防守进度建筑握久性)来危害主张的 macOS 系统。
值得指出的是,这是朝鲜黑客组织开展的迢遥行径集群之一,这些膺惩行径欺诈与责任联系的钓饵来感染主张坏心软件。
招募主题的钓饵亦然传播RustBucket 和 KANDYKORN等坏心软件家眷的常用期间。当今尚不明晰 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何推断。
Mandiant 默示,它不雅察到一项社会工程行径,该行径发送了一份坏心 PDF,伪装成一家有名加密货币交游所的“财务和运营副总裁”的职位形容。
“坏心 PDF 开释了名为 RustBucket 的第二阶段坏心软件,这是一个用 Rust 编写的复旧文献实施的后门。”
RustBucket 植入物不错网罗基本系统信息、与通过敕令行提供的 URL 进行通讯,并使用伪装成“Safari 更新”的启动代理诞生握久性,以便推断硬编码的敕令和截止 (C2) 域。
朝鲜针对 Web3 组织的膺惩不单是限于社会工程学,还包括软件供应链膺惩,正如比年来针对3CX和JumpCloud的事件所不雅察到的那样。
Mandiant 默示:“一朝通过坏心软件建筑藏身点,膺惩者就会转向密码搞定器窃取字据,通过代码库和文档进行里面考察,并参加云托管环境以走漏热钱包密钥并最终阔绰资金。”
此事走漏之际,好意思国联邦走访局 (FBI) 告戒称,朝鲜黑客欺诈“高度定制化、难以察觉的社会工程行径”对准加密货币行业。
这些正在进行的行径冒充受害者可能躬行或迤逦执意的招聘公司或个东说念主,向其提供服务或投资,这被视为毫无所惧的加密货币盗窃的渠说念。
值得留心的是,他们摄取的计谋包括笃定感深嗜的加密货币联系业务、在推断主张之前进行平凡的术前决议,以及臆造个性化的空虚场景,试图招引潜在受害者并加多膺惩告捷的可能性。
联邦走访局默示:“犯科分子可能会说起个东说念主信息、深嗜、隶属关系、事件、个东说念主关系、专科推断或受害者合计很少有东说念主知说念的细节”,并强调他们试图建筑融洽关系并最终传播坏心软件。
“若是告捷建筑双向推断,开始的膺惩者或膺惩者团队的另别称成员可能会破耗多数时刻与受害者战争,以加多正当性、产生熟识感和信任度。”