Kuzey Kore ile bağlantılı tehdit aktörlerinin, sahte iş alım operasyonları kapsamında geliştiricileri hedef almak için LinkedIn’i kullandıkları gözlemlendi.

Bu saldırılar, Web3 sektörünün karşı karşıya kaldığı tehditlerle ilgili Google’a ait Mandiant tarafından hazırlanan yeni bir raporda, genellikle kodlama testlerini ilk enfeksiyon vektörü olarak kullanıyor.

Araştırmacılar Robert Wallace, Blas Kojusner ve Joseph Dobson, “İlk sohbetin ardından saldırgan, Python kodlama testi olarak gizlenmiş COVERTCATCH adlı bir kötü amaçlı yazılım içeren bir ZIP dosyası gönderdi” dedi.

Bu kötü amaçlı yazılım, hedefin macOS sistemini tehlikeye atmak için ikinci aşama yükü indirerek Launch Agents ve Launch Daemons aracılığıyla kalıcılık sağlamayı amaçlayan bir platform olarak işlev görüyor.

Siber güvenlik açısından, bu durumun Kuzey Koreli hacker gruplarının, hedefleri kötü amaçlı yazılımlarla enfekte etmek için işle ilgili yemler kullandığı Operation Dream Job, Contagious Interview ve diğer birçok aktivite kümesinden sadece biri olduğu belirtilmelidir.

İşe alım temalı tuzaklar, RustBucket ve KANDYKORN gibi kötü amaçlı yazılım ailelerini yaymak için de yaygın bir taktik olmuştur. Şu anda COVERTCATCH’in bu türlerle ya da yeni tanımlanan TodoSwift ile herhangi bir bağlantısı olup olmadığı net değil.

RustBucket implantı, temel sistem bilgilerini toplamak, komut satırı üzerinden sağlanan bir URL ile iletişim kurmak ve sabit kodlanmış bir komuta kontrol (C2) alanıyla bağlantı kurmak için “Safari Update” olarak kamufle edilmiş bir Launch Agent kullanarak kalıcılık sağlamak için donatılmıştır.