СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
09.09.2024
#Dev#ИБ

Северокорейские хакеры внедряют вредоносное ПО COVERTCATCH с помощью мошеннических вакансий в LinkedIn

Северокорейские хакеры внедряют вредоносное ПО COVERTCATCH с помощью мошеннических вакансий в LinkedIn

источник: dall-e

Эксперты компании Mandiant сообщили о выявлении хакерской кампании, приписываемой северокорейским киберпреступникам. В рамках операции хакеры используют платформу LinkedIn как инструмент для атак на разработчиков, создавая фиктивные программы по набору сотрудников, сообщает издание The Hacker News.

Компания Mandiant, принадлежащая корпорации Google, в своём новом отчёте «Об угрозах, с которыми сталкивается сектор Web3», заявила, что эти атаки используют тесты кодирования как общий начальный вектор заражения.

«После первоначального разговора в чате LinkedIn хакеры отправляют заинтересованным пользователям ZIP-файл, содержащий вредоносное ПО COVERTCATCH, замаскированное под задачу по программированию на Python», — рассказали исследователи Роберт Уоллес, Блас Кохуснер и Джозеф Добсон.

Вредоносная программа функционирует как «стартовая площадка» для взлома целевой системы macOS, загружая полезную нагрузку второго этапа, которая обеспечивает устойчивость с помощью Launch Agents и Launch Daemons.

В компании Mandiant отмечают, что это один из многих кластеров активности, таких как Operation Dream Job, Contagious Interview и других, которые осуществляются северокорейскими хакерскими группами. Они используют приманки, связанные с вакансиями, для заражения целей вредоносным ПО. Приманки на тему найма сотрудников также были распространённой тактикой для доставки вредоносного ПО, таких как RustBucket и KANDYKORN. В настоящее время неясно, имеет ли COVERTCATCH какую-либо связь с этими штаммами или недавно идентифицированным TodoSwift.

Компания Mandiant заявила, что обнаружила кампанию социальной инженерии, в ходе которой северокорейские хакеры распространяли вредоносный PDF-файл, замаскированный под описание вакансии «вице-президента по финансам и операциям» на крупной криптовалютной бирже. Вредоносный PDF-файл содержал вредоносную программу второго уровня, известную как RustBucket, которая представляет собой бэкдор, написанный на языке программирования Rust и поддерживающий выполнение файлов.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: