Peretas Korea Utara Sebar Malware Lewat Penipuan LinkedIn

Aktor ancaman yang berafiliasi dengan Korea Utara telah terpantau memanfaatkan LinkedIn sebagai sarana untuk menargetkan pengembang dalam operasi perekrutan pekerjaan palsu.

Serangan ini menggunakan uji coding sebagai vektor infeksi awal yang umum, yang menunjukkan bahwa para penyerang semakin cerdik dalam memilih metode untuk mengeksploitasi target mereka. Dengan memanfaatkan ketertarikan para profesional di sektor teknologi, khususnya di Web3, mereka dapat menyisipkan malware tanpa menimbulkan kecurigaan. 

Menurut laporan terbaru dari Mandiant, perusahaan keamanan siber yang dimiliki oleh Google, ancaman ini tidak hanya terbatas pada individu, tetapi juga telah mengancam integritas proyek-proyek di ruang Web3 secara keseluruhan. Penyerang memanfaatkan latar belakang pendidikan dan motivasi pelamar kerja untuk menciptakan skenario yang tampaknya sah, sehingga meningkatkan kemungkinan bahwa mereka akan berhasil menginfeksi sistem target mereka.

"Setelah percakapan awal, penyerang mengirimkan file ZIP yang berisi malware COVERTCATCH yang disamarkan sebagai tantangan coding Python," kata peneliti Robert Wallace, Blas Kojusner, dan Joseph Dobson.

Malware ini berfungsi sebagai platform peluncuran untuk mengkompromikan sistem macOS target dengan mengunduh payload tahap kedua yang mengatur keberlangsungan melalui Launch Agents dan Launch Daemons.

Perlu dicatat bahwa ini adalah salah satu dari banyak kelompok aktivitas, yaitu Operasi Dream Job, Contagious Interview, dan lainnya, yang dilakukan oleh grup peretasan Korea Utara, yang menggunakan umpan terkait pekerjaan untuk menginfeksi target dengan malware.

Umpan bertema rekrutmen juga telah menjadi taktik umum untuk menyebarkan malware seperti RustBucket dan KANDYKORN.

Mandiant mencatat bahwa mereka mengamati sebuah kampanye rekayasa sosial yang menyebarkan PDF berbahaya yang disamarkan sebagai deskripsi pekerjaan untuk "VP Keuangan dan Operasi" di sebuah pertukaran cryptocurrency terkemuka.

"PDF berbahaya tersebut menurunkan malware tahap kedua yang dikenal sebagai RustBucket, yang merupakan backdoor yang ditulis dalam Rust dan mendukung file eksekusi."

Implan RustBucket dilengkapi untuk mengumpulkan informasi dasar sistem, berkomunikasi dengan URL yang disediakan melalui command line dan menerapkan keberlangsungan menggunakan Launch Agent yang menyamarkan dirinya sebagai "Pembaruan Safari" untuk menghubungi domain command and control (C2) yang tertanam.

Penargetan Korea Utara terhadap organisasi Web3 juga melampaui rekayasa sosial untuk mencakup serangan rantai pasokan perangkat lunak, seperti yang diamati dalam insiden yang menargetkan 3CX dan JumpCloud dalam beberapa tahun terakhir.

"Setelah mendapat pijakan melalui malware, penyerang pergi ke pengelola kata sandi untuk mencuri kredensial, melakukan kredensial internal melalui kode repositori dan dokumentasi, dan berpindah ke environment hosting cloud untuk mengungkap kunci dompet panas dan akhirnya menguras dana," ujar Mandiant.

Pengungkapan ini datang di tengah peringatan dari Federal Bureau of Investigation (FBI) AS tentang penargetan aktor ancaman Korea Utara terhadap industri cryptocurrency menggunakan "kampanye rekayasa sosial yang sangat terarah dan sulit dideteksi."

Upaya yang sedang berlangsung ini, yang menyamar sebagai perusahaan atau individu rekrutmen yang mungkin dikenal secara langsung atau tidak langsung oleh korban dengan tawaran pekerjaan atau investasi, dianggap sebagai saluran untuk menerima kripto yang berani, dirancang untuk menghasilkan pendapatan ilegal bagi negara pertapa tersebut, yang telah menjadi subjek sanksi internasional.

Taktik yang menonjol antara lain mengidentifikasi bisnis terkait cryptocurrency yang menjadi target, melakukan penelitian pra-operasional yang mendalam terhadap target sebelum memulai kontak, dan merancang skenario palsu yang dipersonalisasi dalam upaya untuk menarik perhatian calon korban dan meningkatkan kemungkinan keberhasilan serangan mereka.

"Para aktor dapat Merujuk pada informasi pribadi, minat, afiliasi, acara, hubungan pribadi, koneksi profesional, atau detail yang mungkin diyakini korban diketahui oleh hanya sedikit orang lainnya," kata FBI, terutama upaya untuk membangun hubungan dan akhirnya menyebarkan malware.

"Jika berhasil dalam membangun kontak dua arah, aktor awal, atau anggota lain dari tim aktor, mungkin menghabiskan waktu yang cukup lama berinteraksi dengan korban untuk meningkatkan rasa legitimasi dan membangun kedekatan dan kepercayaan."