Secondo le nuove scoperte di Cisco Talos e Google Threat Intelligence Group, gli autori di minacce legate alla Corea del Nord stanno intensificando le loro operazioni informatiche utilizzando strumenti malware decentralizzati ed elusivi.
Le campagne mirano a rubare criptovalute, infiltrarsi nelle reti ed eludere il rilevamento attraverso sofisticate truffe di reclutamento.
L'evoluzione delle tecniche di malware riflette l'espansione delle capacità
I ricercatori di Cisco Talos hanno identificato una campagna in corso del gruppo nordcoreano Famous Chollima. Il gruppo ha utilizzato due ceppi di malware complementari, BeaverTail e OtterCookie. Questi programmi, tradizionalmente utilizzati per il furto di credenziali e l'esfiltrazione di dati, si sono ora evoluti per integrare nuove funzionalità e una maggiore interoperabilità.
In un recente incidente che ha coinvolto un'organizzazione in Sri Lanka , gli aggressori hanno indotto un candidato a installare codice dannoso camuffato da valutazione tecnica. Sebbene l'organizzazione in sé non fosse un obiettivo diretto, gli analisti di Cisco Talos hanno anche osservato un modulo di keylogging e screenshot collegato a OtterCookie, il che evidenzia il rischio più ampio per le persone coinvolte in false offerte di lavoro. Questo modulo registrava di nascosto le sequenze di tasti e catturava immagini del desktop, trasmettendole automaticamente a un server di comando remoto.
Questa osservazione sottolinea la continua evoluzione dei gruppi terroristici affiliati alla Corea del Nord e la loro attenzione alle tecniche di ingegneria sociale per compromettere obiettivi ignari.
Blockchain utilizzata come infrastruttura di comando
Il Threat Intelligence Group (GTIG) di Google ha identificato un'operazione condotta da un gruppo criminale legato alla Corea del Nord, UNC5342. Il gruppo ha utilizzato un nuovo malware chiamato EtherHiding . Questo strumento nasconde payload JavaScript dannosi su una blockchain pubblica, trasformandola in una rete di comando e controllo (C2) decentralizzata.
Utilizzando la blockchain, gli aggressori possono modificare il comportamento del malware da remoto, senza dover ricorrere ai server tradizionali. Le azioni di smantellamento da parte delle forze dell'ordine diventano molto più difficili. Inoltre, GTIG ha riferito che UNC5342 ha applicato l'EtherHiding in una campagna di ingegneria sociale chiamata Contagious Interview, precedentemente identificata da Palo Alto Networks, a dimostrazione della persistenza di autori di minacce allineati alla Corea del Nord.
Prendere di mira i candidati per rubare criptovalute e dati
Secondo i ricercatori di Google, queste operazioni informatiche iniziano in genere con annunci di lavoro fraudolenti rivolti a professionisti nei settori delle criptovalute e della sicurezza informatica. Le vittime vengono invitate a partecipare a false valutazioni, durante le quali viene chiesto loro di scaricare file contenenti codice dannoso .
Il processo di infezione spesso coinvolge diverse famiglie di malware , tra cui JadeSnow, BeaverTail e InvisibleFerret. Insieme, consentono agli aggressori di accedere ai sistemi, rubare credenziali e distribuire ransomware in modo efficiente. Gli obiettivi finali spaziano dallo spionaggio e dal furto finanziario all'infiltrazione di rete a lungo termine.
Cisco e Google hanno pubblicato indicatori di compromissione (IOC) per aiutare le organizzazioni a rilevare e rispondere alle minacce informatiche in corso legate alla Corea del Nord. Queste risorse forniscono dettagli tecnici per identificare attività dannose e mitigare potenziali violazioni. I ricercatori avvertono che l'integrazione di blockchain e malware modulare continuerà probabilmente a complicare gli sforzi globali di difesa della sicurezza informatica.
L'articolo Gli hacker nordcoreani implementano strumenti basati su blockchain per espandere la campagna informatica globale è apparso per la prima volta su BeInCrypto .