Muigizaji tishio aliye na uhusiano na Jamhuri ya Kidemokrasia ya Watu wa Korea (DPRK) ameonekana akilenga biashara zinazohusiana na sarafu ya crypto na programu hasidi ya hatua nyingi inayoweza kuambukiza vifaa vya Apple MacOS. Kampuni ya Cybersecurity SentinelOne, iliyoipa kampeni Hidden Risk, ilihusisha kwa imani kubwa na BlueNoroff, ambayo hapo awali imekuwa ikihusishwa na familia zisizo za programu kama vile RustBucket, KANDYKORN, ObjCHellz, RustDoor (aka Thiefbucket), na TodoSwift. Shughuli “hutumia barua pepe zinazoeneza habari za uwongo kuhusu mwelekeo wa sarafu-fiche ili kuambukiza walengwa kupitia programu hasidi iliyofichwa kama faili ya PDF,” watafiti Raffaele Sabato, Phil Stokes, na Tom Hegel walisema katika ripoti iliyoshirikiwa na The Hacker News. “Huenda kampeni ilianza mapema Julai 2024 na hutumia barua pepe na nakala za PDF zilizo na vichwa vya habari bandia au hadithi kuhusu mada zinazohusiana na crypto.” Kama ilivyofichuliwa na Ofisi ya Upelelezi ya Marekani (FBI) katika ushauri wa Septemba 2024, kampeni hizi ni sehemu ya mashambulizi ya “uhandisi wa kijamii yaliyowekwa maalum, magumu kugundua” yanayolenga wafanyakazi wanaofanya kazi katika sekta za fedha zilizogatuliwa (DeFi) na cryptocurrency. . Mashambulizi hayo huchukua mfumo wa fursa za kazi ghushi au uwekezaji wa kampuni, unaohusisha malengo yao kwa muda mrefu ili kujenga uaminifu kabla ya kuwasilisha programu hasidi. SentinelOne ilisema iliona jaribio la kuhadaa kupitia barua pepe kwenye tasnia inayohusiana na crypto-crypto mwishoni mwa Oktoba 2024 ambayo ilituma programu ya kuiga faili ya PDF (“Hatari Iliyofichwa Nyuma ya Kuongezeka Mpya kwa Bitcoin Price.app”) iliyoandaliwa kwenye delphidigital.[.]org. Programu, iliyoandikwa kwa lugha ya programu ya Swift, imepatikana kuwa imetiwa saini na kuthibitishwa mnamo Oktoba 19, 2024, na kitambulisho cha msanidi wa Apple “Avantis Regtech Private Limited (2S8XHJ7948).” Saini hiyo tangu wakati huo imebatilishwa na mtengenezaji wa iPhone. Inapozinduliwa, programu hupakua na kuonyeshwa kwa mwathiriwa faili ya PDF ya udanganyifu iliyopatikana kutoka kwa Hifadhi ya Google, huku ikirejesha kwa siri hatua ya pili inayoweza kutekelezwa kutoka kwa seva ya mbali na kuitekeleza. Mach-O x86-64 inayoweza kutekelezeka, mfumo wa jozi ambao haujasainiwa kwa msingi wa C++ hufanya kazi kama mlango wa nyuma wa kutekeleza amri za mbali. Mlango wa nyuma pia unajumuisha utaratibu mpya wa kuendelea ambao unatumia vibaya faili ya usanidi ya zshenv, ikiashiria mara ya kwanza mbinu hiyo imetumiwa vibaya porini na waandishi wa programu hasidi. “Ina thamani maalum kwa matoleo ya kisasa ya macOS tangu Apple ilianzisha arifa za watumiaji kwa Vitu vya Kuingia vya chinichini kama vile MacOS 13 Ventura,” watafiti walisema. “Arifa ya Apple inalenga kuwaonya watumiaji wakati mbinu ya kudumu inaposakinishwa, hasa LaunchAgents na LaunchDaemons zinazotumiwa vibaya mara kwa mara. Kutumia zshenv vibaya, hata hivyo, hakusababishi arifa kama hiyo katika matoleo ya sasa ya macOS.” Muigizaji tishio pia amezingatiwa kwa kutumia msajili wa kikoa Namecheap kuanzisha miundombinu inayozingatia mada zinazohusiana na cryptocurrency, Web3, na uwekezaji ili kuipa veneer ya uhalali. Quickpacket, Routerhosting, na Hostwinds ni kati ya watoa huduma wa kawaida wanaotumiwa. Inafaa kukumbuka kuwa safu ya ushambuliaji inashiriki kiwango fulani cha mwingiliano na kampeni ya hapo awali ambayo Kandji aliangazia mnamo Agosti 2024, ambayo pia ilitumia programu ya kushuka kwa jina la macOS “Vigezo vya hatari kwa kushuka kwa bei ya Bitcoin vinaibuka(2024) programu” kupeleka TodoSwift . Haijabainika ni nini kilisababisha wahusika tishio kubadili mbinu zao, na ikiwa ni kujibu ripoti za umma. “Waigizaji wa Korea Kaskazini wanajulikana kwa ubunifu wao, kubadilika, na ufahamu wa ripoti juu ya shughuli zao, kwa hivyo inawezekana kabisa kwamba tunaona tu mbinu tofauti zenye mafanikio zikitoka kwenye programu yao ya mtandao inayokera,” Stokes aliiambia The Hacker News. Kipengele kingine cha kampeni ni uwezo wa BlueNoroff kupata au kuteka nyara akaunti halali za wasanidi programu wa Apple na kuzitumia kutangaza programu hasidi na Apple. “Katika kipindi cha miezi 12 hivi hivi, waigizaji wa mtandao wa Korea Kaskazini wameshiriki katika mfululizo wa kampeni dhidi ya tasnia zinazohusiana na crypto, nyingi zikiwa zimehusisha ‘kutunza’ malengo kupitia mitandao ya kijamii,” watafiti walisema. “Kampeni ya Hatari Iliyofichwa inatofautiana na mkakati huu kuchukua mbinu ya kitamaduni na isiyo na maana zaidi, ingawa si lazima iwe na ufanisi duni, mbinu ya kuhadaa barua pepe ili kupata maelezo ya kibinafsi. Licha ya ujanja wa mbinu ya awali ya maambukizi, alama nyingine za kampeni za awali zilizoungwa mkono na DPRK ni dhahiri.” Maendeleo hayo pia yanakuja huku kukiwa na kampeni nyingine zilizoratibiwa na walaghai wa Korea Kaskazini kutafuta ajira katika makampuni mbalimbali katika nchi za Magharibi na kuwasilisha programu hasidi kwa kutumia misingi iliyonaswa na zana za mikutano kwa wanaotafuta kazi kwa kisingizio cha changamoto ya uajiri au kazi. Seti mbili za uvamizi, zinazoitwa Wagemole (aka UNC5267) na Mahojiano ya Kuambukiza, zimehusishwa na kundi tishio linalofuatiliwa kama Chollima Maarufu (aka CL-STA-0240 na Tenacious Pungsan). ESET, ambayo imetoa Mahojiano ya Kuambukiza jina la DeceptiveDevelopment, imeiainisha kama nguzo mpya ya shughuli ya Kikundi cha Lazarus ambayo inalenga kulenga wasanidi programu wa kujitegemea kote ulimwenguni kwa lengo la wizi wa pesa taslimu. “Mahojiano ya Kuambukiza na Kampeni za Wagemole zinaonyesha mbinu zinazobadilika za watendaji tishio wa Korea Kaskazini wanapoendelea kuiba data, kupata kazi za mbali katika nchi za Magharibi, na kukwepa vikwazo vya kifedha,” mtafiti wa Zscaler ThreatLabz Seongsu Park alisema mapema wiki hii. “Kwa mbinu zilizoboreshwa za upotoshaji, uoanifu wa majukwaa mengi, na wizi wa data ulioenea, kampeni hizi zinawakilisha tishio linalokua kwa biashara na watu binafsi sawa.” Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply