Los actores de amenaza vinculados a Corea del Septentrión asociados con la campaña de entrevistas contagiosas se han atribuido a una puerta trasera previamente indocumentada indicación Akdoortea, conexo con herramientas como Tsunamikit y Tropidoor.
La firma de ciberseguridad eslovacia Eset, que está rastreando la actividad bajo el nombre de DeceptivedErarrelo, dijo que la campaña se dirige a los desarrolladores de software en todos los sistemas operativos, Windows, Linux y MacOS, particularmente aquellos involucrados en proyectos de criptomonedas y Web3. Todavía se conoce como Dev#Popper, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
“El conjunto de herramientas de DecepedEvelopment es principalmente multiplataforma y consiste en scripts maliciosos ofuscos iniciales en Python y Javascript, Backdoors básicos en Python and Go, y un esquema web tenebroso en .NET”, los investigadores de ESET Peter Kálnai y Matěj Havránk dijeron en un crónica compartido con las parte de piratas informáticos.
La campaña involucra esencialmente a los reclutadores personificados que ofrecen lo que parecen ser roles de trabajo lucrativos sobre plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List. A posteriori de la divulgación original, si el posible objetivo expresa interés en la oportunidad, se les pide que completen una evaluación de video haciendo clic en un enlace o un gimnasia de codificación.
La asignación de programación requiere que clonen proyectos alojados en GitHub, que instala silenciosamente malware. Por otro costado, los sitios web se configuran explícitamente para realizar la indicación evaluación de video que muestra errores inexistentes relacionados con el camino a la cámara o el camino micrófono que se bloquean, y los insta a seguir las instrucciones al estilo de ClickFix para rectificar el problema al iniciar el símbolo del sistema o la aplicación terminal, dependiendo del sistema eficaz utilizado.
Independientemente del método empleado, se ha antagónico que los ataques entregan varias piezas de malware, como Beavertail, InvisibleFerret, Ottercookie, Golangghost (todavía conocido como FlexibleFerret o Weaselstore) y Pylangghost.
“La funcionalidad de WeaselStore es harto similar tanto a Beaverail como a Invisibleferret, con el enfoque principal que se exfiltración de datos confidenciales de navegadores y billeteras de criptomonedas”, dijo Eset. “Una vez que los datos han sido exfiltrados, WeaselStore, a diferencia de los infantes de infantes tradicionales, continúa comunicándose con su servidor C&C, que sirve como una rata capaz de ejecutar varios comandos”.
Todavía se implementan como parte de estas secuencias de infección son Tsunamikit, Postnaptea y Tropidoor, el primero de los cuales es un kit de herramientas de malware entregado por InvisibleFerret y está diseñado para información y robo de criptomonedas. El uso de Tsunamikit se descubrió por primera vez en noviembre de 2024.
El conjunto de herramientas comprende varios componentes, el punto de partida es la etapa original Tsunamiloader que desencadena la ejecución de un inyector (tsunamiinjector), que, a su vez, deja caer Tsunamiinstaller y Tsunamihardener.
Mientras que Tsunamiinstaller actúa como un cuentagotas de tsunamiclientinstaller que luego descarga y ejecuta tsunamiclient, Tsunamihardener es responsable de configurar la persistencia para TsunamicLient, así como configurar las exclusiones de defensa de Microsoft. TsunamicLient es el módulo central que incorpora un spyware .NET y deja caer mineros de criptomonedas como XMRIG y NBMiner.
Se cree que Tsunamikit es probablemente una modificación de un esquema web tenebroso en empleo de una creación nativa del actor de amenaza, legado que las muestras relacionadas con el pernio de herramientas se han descubierto que data de diciembre de 2021, precursor a la aparición de la entrevista contagiosa, que se cree que comenzó a fines de 2022.
Todavía se ha descubierto que el robador y descargador de Beaverail actúan como un transporte de distribución para otro malware conocido como Tropidoor que, según ASEC, se superpone con una aparejo de orden Lázaro indicación LightlessCan. Eset dijo que encontró evidencia de artefactos de Tropidoor cargados en Virustotal desde Kenia, Colombia y Canadá, y agregó que el malware todavía comparte “grandes porciones de código” con Postnaptea, un malware utilizado por el actor de amenazas contra los objetivos de Corea del Sur en 2022.
Postnaptea admite comandos para actualizaciones de configuración, manipulación de archivos y captura de pantalla, agencia de sistemas de archivos, agencia de procesos y ejecución de versiones personalizadas de comandos de Windows como Whoami, NetStat, Tracert, Lookup, IPConfig y SystemInfo, entre otros, para mejorar el sigilo, una característica todavía presente en LightlessCan.
“Tropidoor es la carga útil más sofisticada hasta ahora vinculada al orden de crecimiento engañado, probablemente porque se plinto en malware desarrollado por los actores de amenaza más avanzados técnicamente bajo el paraguas de Lazarus”, dijo Eset.
 |
| Prisión de ejecución de Weaselstore |
La última incorporación al Conjunto del actor de amenaza es un troyano de camino remoto denominado Akdoortea que se entrega mediante un script por lotes de Windows. El script descarga un archivo zip (“nvidiareLease.zip”) y ejecuta un script de Visual Basic presente en él, que luego procede a editar cargas avíos de Beaverail y Akdoortea todavía contenidas en el archivo.
Vale la pena señalar que la campaña ha diligente las actualizaciones de controladores con temática de NVIDIA en el pasado como parte de los ataques de ClickFix para tocar los supuestos problemas de cámara o micrófono al proporcionar las evaluaciones de video, lo que indica que este enfoque se está utilizando para propagar Akdoortea.
Akdoortea obtiene su nombre del hecho de que comparte puntos en popular con Akdoor, que se describe como una transformación del implante Nukesped (todavía conocido como ManusCrypt), reforzando aún más las conexiones de la entrevista contagiosa con el paraguas del orden Lázaro más magnate.
“Los TTP de Elegro Deceptived ilustran un maniquí más distribuido e impulsado por el barriguita de sus operaciones. A pesar de que a menudo carece de sofisticación técnica, el orden compensa a través de la escalera y la ingeniería social creativa”, dijo Eset.
“Sus campañas demuestran un enfoque pragmático, explotando herramientas de código destapado, reutilizando proyectos web oscuros disponibles, adaptando malware probablemente alquilado de otros grupos alineados por Corea del Septentrión y aprovechando las vulnerabilidades humanas a través de ofertas de trabajo falsas y plataformas de entrevistas”.
La entrevista contagiosa no funciona en silo, ya que todavía se ha antagónico que comparte cierto nivel de superposiciones con el esquema de trabajadores de TI fraudulentos de Pyongyang (todavía conocido como Wagemole), con el ZScaler señalando que la inteligencia obtenida de los primeros es utilizada por los actores de Corea del Septentrión para estabilizar trabajos en aquellas compañías que usan identidades sintéticas y fabricantes de personas. Se cree que la amenaza de los trabajadores de TI ha estado en curso desde 2017.
 |
| Conexión entre la entrevista contagiosa y Wagemole |
La compañía de ciberseguridad Trellix, en un crónica publicado esta semana, dijo que descubrió una instancia de un fraude de empleo de trabajadores de TI de Corea del Septentrión dirigido a una empresa de vigor de los Estados Unidos, donde una persona que usa el nombre “Kyle Lankford” solicitó un puesto de ingeniero de software principal.
Si admisiblemente el solicitante de empleo no planteó ninguna bandera roja durante las primeras etapas del proceso de contratación, Trellix dijo que pudo correlacionar sus direcciones de correo electrónico con los conocidos indicadores de trabajadores de Corea del Septentrión. El investigación posterior de los intercambios de correo electrónico y las verificaciones de informes identificaron al candidato como un probable eficaz norcoreano, agregó.
“Las actividades de los trabajadores de TI de Corea del Septentrión constituyen una amenaza híbrida”, señaló Eset. “Este esquema de fraude por arrendamiento combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, que lo clasifican como un crimen tradicional y un delito cibernético (o delitos electrónicos)”.
