Gli autori delle minacce nordcoreane si fingono sia reclutatori che cercatori di lavoro sul Web, ingannando aziende e candidati per ottenere guadagni finanziari e, possibilmente, per ottenere l'accesso alle organizzazioni occidentali.
L'Unità 42 di Palo Alto Networks questa settimana ha pubblicato i dettagli di due di queste campagne in corso viene indicato come "Contagious Interview" e "Wagemole".
Per Contagious Interview, gli autori di minacce della Repubblica popolare democratica di Corea (DPRK) agiscono come datori di lavoro, pubblicano post su false offerte di lavoro e interagiscono con candidati inconsapevoli. Quindi, durante il processo di valutazione, inducono i candidati a installare sofisticati infostealer multipiattaforma.
In Wagemole, i cattivi si scambiano i ruoli, indossando personaggi falsi per candidarsi a posti di lavoro presso organizzazioni affermate con sede negli Stati Uniti e altrove.
Come spiega Michael Sikorski, direttore tecnologico e vicepresidente dell'Unità 42, questi stratagemmi elaborati producono un'ingegneria sociale molto più credibile rispetto alle tipiche e-mail di phishing.
“Le persone sono bombardate di e-mail tutto il giorno: la maggior parte di queste viene gettata nel cestino o addirittura contrassegnata come spam. Quindi questo è uno sforzo per cambiare direzione e farlo sembrare molto più realistico”, dice.
Ingannare le persone in cerca di lavoro
La RPDC è stata a lungo una fonte di spionaggio creativo e criminalità informatica finanziaria. Oltre al tradizionale furto informatico: per cui è prolifico – Anche l’esercito di Kim Jong Un, leader del paese, si è avventurato fuori dai sentieri battuti, in domini e con tattiche in gran parte mai viste in altre parti del mondo.
Ad esempio, gli hacker sponsorizzati dallo stato si sono presentati come reclutatori per lavori ad alta tecnologia, attirando gli sviluppatori in impegni a volte di settimane o mesi con malware in attesa alla fine. Uno di questi casi lo scorso anno ha portato a la rapina di Axie Infinity, un popolare gioco pay-to-play Web3, per un totale di oltre mezzo miliardo di dollari.
Da allora, a quanto pare, gli hacker hanno cercato di ripetere quel successo.
Almeno da marzo, l'autore della minaccia dietro Contagious Interview ha pubblicato vaghe offerte di lavoro per sviluppatori di software o lavori specificatamente adattati ai campi dell'intelligenza artificiale e del Web3. Dopo aver stabilito un contatto iniziale tramite social media, forum online o altri mezzi, il gruppo invita i candidati a un colloquio online.
È durante l'intervista che l'attore malintenzionato invia al richiedente un pacchetto basato su npm ospitato su GitHub. Questo pacchetto contiene "Beavertail", un infostealer e caricatore fortemente offuscato basato su JavaScript. Prende di mira le informazioni di base del sistema, nonché i dettagli della carta di credito e del portafoglio di criptovaluta archiviati nel browser della vittima. Inoltre recupera ed esegue un secondo carico utile, "InvisibleFerret".
InvisibleFerret è una backdoor basata su Python in grado di rilevare impronte digitali, keylogging, raccolta di credenziali, esfiltrazione di dati, controllo remoto e, se necessario, scaricare AnyDesk RMM per un ulteriore controllo su un computer compromesso.
Per tendenza recente tra gli APT capaci, sia Beavertail che InvisibleFerret funzionano su tutti i sistemi operativi: Windows, Linux e macOS.
È interessante notare che rubare denaro e spiare il bersaglio potrebbe non essere in realtà lo scopo principale di nessuno dei due malware. “Convincendo a installare malware, [gli aggressori] riescono ad avere un punto d’appoggio su quel sistema. Ora, se quella persona va a lavorare da qualche altra parte in futuro – probabilmente troverà un vero lavoro da qualche altra parte – allora all’improvviso ciò potrebbe portare a un’infezione nella catena di fornitura di quell’azienda”, suggerisce Sikorski.
Datori di lavoro ingannevoli
Anche i nordcoreani lo fanno da anni presentati come candidati in cerca di lavoro a distanza nello spazio tecnologico. Attraverso un labirinto di curriculum, e-mail, social media, siti Web e così via falsi, i candidati reali che utilizzano personaggi falsi guadagnano lavoro e poi incanalare i loro guadagni verso il regime di Kim.
Mentre indagavano sull'infrastruttura GitHub dietro Contagious Interview, i ricercatori hanno trovato prove di questi schemi: resoconti dettagliati di lunga data su GitHub, LinkedIn, mercati di freelance, script per interviste telefoniche, carte di residenza permanente negli Stati Uniti rubate e altro ancora.
Non è chiaro quanti di questi surrogati lavoratori IT abbiano sviluppato rapporti reali e di lunga data con le aziende. Ma solo il mese scorso ha osservato il Dipartimento di Giustizia degli Stati Uniti che "questo schema è così diffuso che le aziende devono essere vigili per verificare chi stanno assumendo".
Le aziende che assumono dipendenti con identità false non corrono solo il rischio di imbarazzo, avverte Sikorski. “Basti pensare all’enorme quantità di rischi che comporta avere un attore sponsorizzato dallo stato nel proprio ambiente”, afferma. "E ricorda: questi sono sviluppatori di software, il che significa che hanno accesso al codice sorgente."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/dprk-hackers-masquerading-tech-recruiters–job-seekers
