Door Noord-Korea gelinkte dreigingsactoren escaleren hun cyberoperaties met behulp van gedecentraliseerde en ontwijkende malwaretools, volgens nieuwe bevindingen van Cisco Talos en Google Threat Intelligence Group.
De campagnes zijn gericht op het stelen van cryptocurrency, het infiltreren van netwerken en het ontwijken van detectie via geavanceerde wervingsfraude.
Evoluerende malwaretechnieken weerspiegelen uitbreidende capaciteiten
Cisco Talos-onderzoekers hebben een lopende campagne geïdentificeerd door de Noord-Koreaanse groep Famous Chollima. De groep heeft twee complementaire malwarevarianten gebruikt, BeaverTail en OtterCookie. Deze programma’s, traditioneel gebruikt voor het stelen van inloggegevens en data-exfiltratie, zijn nu geëvolueerd om nieuwe functionaliteiten en nauwere samenwerking te integreren.
SponsoredIn een recent incident met een organisatie in Sri Lanka lokten aanvallers een werkzoekende om kwaadaardige code te installeren die vermomd was als onderdeel van een technische evaluatie. Hoewel de organisatie zelf geen direct doelwit was, observeerden Cisco Talos-analisten ook een keylogging- en screenshotmodule gekoppeld aan OtterCookie, wat het bredere risico voor individuen bij nep-werkaanbiedingen benadrukt. Deze module registreerde heimelijk toetsaanslagen en maakte bureaubladafbeeldingen, die automatisch naar een externe commandoserver werden verzonden.
Deze observatie benadrukt de voortdurende evolutie van Noord-Korea-gelieerde dreigingsgroepen en hun focus op social engineering-technieken om nietsvermoedende doelwitten te compromitteren.
Blockchain gebruikt als commandostructuur
Google’s Threat Intelligence Group (GTIG) identificeerde een operatie door een Noord-Korea-gelinkte actor, UNC5342. De groep gebruikte een nieuwe malware genaamd EtherHiding. Deze tool verbergt kwaadaardige JavaScript-payloads op een publieke blockchain, waardoor het een gedecentraliseerd command and control (C2) netwerk wordt.
Door gebruik te maken van blockchain kunnen aanvallers het gedrag van malware op afstand wijzigen zonder traditionele servers. Wetshandhaving wordt daardoor veel moeilijker. Bovendien meldde GTIG dat UNC5342 EtherHiding toepaste in een social engineering-campagne genaamd Contagious Interview, die eerder was geïdentificeerd door Palo Alto Networks, wat de vasthoudendheid van Noord-Korea-gelieerde dreigingsactoren aantoont.
Gericht op werkzoekenden om cryptocurrency en data te stelen
Volgens Google-onderzoekers beginnen deze cyberoperaties meestal met frauduleuze vacatures gericht op professionals in de cryptocurrency- en cybersecurity-industrieën. Slachtoffers worden uitgenodigd om deel te nemen aan nep-evaluaties, waarbij ze worden geïnstrueerd om bestanden te downloaden die zijn voorzien van kwaadaardige code.
Het infectieproces omvat vaak meerdere malware-families, waaronder JadeSnow, BeaverTail en InvisibleFerret. Samen stellen ze aanvallers in staat om systemen te benaderen, inloggegevens te stelen en ransomware efficiënt in te zetten. De einddoelen variëren van spionage en financiële diefstal tot langdurige netwerk infiltratie.
Cisco en Google hebben indicators of compromise (IOCs) gepubliceerd om organisaties te helpen bij het detecteren en reageren op lopende Noord-Korea-gelinkte cyberdreigingen. Deze bronnen bieden technische details voor het identificeren van kwaadaardige activiteiten en het beperken van mogelijke inbreuken. Onderzoekers waarschuwen dat de integratie van blockchain en modulaire malware waarschijnlijk de wereldwijde cyberbeveiligingsinspanningen zal blijven compliceren.
