本文来自微信公众号“数世咨询”,【编译】闫志坤。
与朝鲜民主主义人民共和国(DPRK)有联系的威胁行为者已被观察到针对与加密货币相关的企业,使用一种多阶段恶意软件,能够感染苹果macOS设备。
网络安全公司SentinelOne将该活动称为隐藏风险,并以高度信心将其归因于BlueNoroff,该组织之前与诸如RustBucket、KANDYKORN、ObjCShellz、RustDoor(又名Thiefbucket)和TodoSwift等恶意软件家族有关联。
这项活动“利用传播关于加密货币趋势的虚假新闻的电子邮件,通过伪装成PDF文件的恶意应用程序感染目标,”研究人员拉法埃尔·萨巴托、菲尔·斯托克斯和汤姆·黑格尔在与《黑客新闻》分享的报告中表示。
“该活动可能早在2024年7月就开始,使用电子邮件和PDF诱饵,配以关于加密相关主题的假新闻标题或故事。”
根据美国联邦调查局(FBI)在2024年9月的公告,这些活动是针对在去中心化金融(DeFi)和加密货币领域工作的员工的“高度定制、难以检测的社会工程”攻击的一部分。
这些攻击以虚假的工作机会或企业投资的形式出现,与目标进行长时间的互动以建立信任,然后再投放恶意软件。
SentinelOne表示,它在2024年10月底观察到一起针对加密相关行业的电子邮件钓鱼尝试,该尝试发送了一个伪装成PDF文件的投放程序(“Hidden Risk Behind New Surge of Bitcoin Price.app”),该文件托管在delphidigital[.]org上。
该应用程序是用Swift编程语言编写的,已于2024年10月19日被发现签名并公证,开发者ID为“Avantis Regtech Private Limited(2S8XHJ7948)”。该签名已被iPhone制造商撤销。
在启动时,该应用程序从Google Drive下载并向受害者显示一个诱饵PDF文件,同时秘密地从远程服务器检索第二阶段的可执行文件并执行它。一个Mach-O x86-64可执行文件,这个基于C++的未签名二进制文件充当后门以执行远程命令。
后门还结合了一种新颖的持久性机制,利用了zshenv配置文件,这标志着该技术首次在恶意软件作者的实际应用中被滥用。
“研究人员表示:‘这在现代版本的macOS上具有特别的价值,因为苹果在macOS 13 Ventura中引入了后台登录项的用户通知。’”
“苹果的通知旨在警告用户何时安装持久性方法,特别是经常被滥用的LaunchAgents和LaunchDaemons。然而,滥用zshenv在当前版本的macOS中并不会触发这样的通知。”
该威胁行为者还被观察到使用域名注册商Namecheap建立一个围绕与加密货币、Web3和投资相关主题的基础设施,以赋予其合法性表象。Quickpacket、Routerhosting和Hostwinds是最常用的托管服务提供商之一。
值得注意的是,攻击链与Kandji在2024年8月强调的之前的活动有一定程度的重叠,该活动也使用了一个名为“Bitcoin价格下跌的风险因素正在出现(2024).app”的macOS投放应用来部署TodoSwift。
目前尚不清楚是什么促使威胁行为者改变战术,以及这是否是对公众报道的回应。“北朝鲜行为者以其创造力、适应能力和对其活动报告的意识而闻名,因此我们很可能只是看到他们的网络攻击计划中出现了不同的成功方法,”斯托克斯告诉《黑客新闻》。
另一个令人担忧的方面是BlueNoroff能够获取或劫持有效的Apple开发者账户,并利用这些账户让他们的恶意软件获得Apple的认证。
“在过去的12个月左右,北朝鲜的网络行动者针对与加密相关的行业进行了系列活动,其中许多活动涉及通过社交媒体对目标进行广泛的‘培养’,”研究人员说。
“隐秘风险”运动偏离了这一策略,采取了一种更传统和粗糙的电子邮件钓鱼方法,尽管这并不一定效果较差。尽管初始感染方法比较直接,但其他朝鲜民主主义人民共和国支持的运动的特征仍然明显。
这一发展也发生在朝鲜黑客策划的其他活动之中,他们试图在西方的各家公司寻找工作,并通过伪装成招聘挑战或任务的方式,向潜在求职者传递恶意软件,使用带有陷阱的代码库和会议工具。
这两个入侵组,称为Wagemole(又名UNC5267)和Contagious Interview,已被归因于一个被追踪的威胁组,名为Famous Chollima(又名CL-STA-0240和Tenacious Pungsan)。
ESET将Contagious Interview称为DeceptiveDevelopment,并将其归类为一个新的Lazarus Group活动集群,旨在针对全球的自由开发者进行加密货币盗窃。
“传染性面试和工资虫活动展示了朝鲜威胁行为者不断演变的战术,他们继续窃取数据,在西方国家获得远程工作,并绕过金融制裁,”Zscaler ThreatLabz研究员朴成洙本周早些时候说。
"凭借精细的混淆技术、多平台兼容性和广泛的数据盗窃,这些活动对企业和个人构成了日益严重的威胁。"
*本文为闫志坤编译,原文地址:https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html
