North Korean Hackers Persist with Fake Job Scams: The “Contagious Interview” Campaign
Čini se da sjevernokorejski hakeri ne odustaju od svojih lažnih poslovnih prevara. Stručnjaci su otkrili da su dodali više varijanti zloćudnog softvera, čime su diversificirali alate koje koriste u kampanji koja traje gotovo tri godine. Istraživači kibernetičke sigurnosti iz NTT Security Japan objavili su informacije o prijetnji iz Sjeverne Koreje koja se vodi pod nazivom “Contagious Interview”.
O Kampanji “Contagious Interview”
Kampanja “Contagious Interview” široko je pokrivena od strane mnogih istraživača i medija. Prevaranti kreiraju lažne oglase za posao, zajedno s nizom lažnih računa na društvenim mrežama. Njihova meta su softverski programeri te ostale visoko profilirane osobe, uključujući profesionalce iz sektora zrakoplovstva, obrane i vlade, kojima nude uzbudljive i unosne nove mogućnosti zaposlenja.
Ko stoji iza ove prijetnje?
Prvi put je kampanja primijećena 2022. godine, a vjeruje se da je upravlja Lazarus Group – poznati državom sponzorirani prijetitelj iz Sjeverne Koreje. Prema najnovijem izvješću, NTT Security Japan navodi da su primijetili kako je grupa koristila više zloćudnog softvera nego obično, uključujući varijante BeaverTail i InvisibleFerret. Ovaj put, koriste malware nazvan OtterCookie.
Čemu služi OtterCookie?
OtterCookie je sposoban za:
- Izvođenje rekognosciranja (prikupljanje informacija o sustavu, primjerice)
- Krađu podataka (ključeva kriptovaluta, slika, dokumenata i drugih vrijednih datoteka)
- Poisoning clipboard-a (zloćudni unos u međuspremniku)
Meta sjevernokorejskih hakera
Lazarus Group poznata je po tome što se prvenstveno usmjerava na web3 (blockchain) tvrtke i krade kriptovalute. Ova moderna tehnologija izuzetno je vrijedna za zločince, jer je gotovo nemoguće povratiti ukradeni novac. Ova grupa je u prošlosti ciljala brojne tvrtke, odnoseći stotine milijuna dolara u raznim kriptovalutama.
Prijeteća taktika izložena
Lazarus Group također je poznata po vođenju lažnih kampanja za zapošljavanje, koje ne cilja samo poslovne subjekte, već i pojedinačne softverske inženjere. Njihovi operateri bili su zabilježeni kako kreiraju lažne identitete i prijavljuju se za poslove, ali i koriste lažne identitete za pristup profesionalcima. U svim scenarijima, prevaranti pokušavaju primijeniti infostealing malware kako bi prikupili osjetljive podatke.
Završna misao
Ova kontinuirana prijetnja koju predstavljaju sjevernokorejski hakeri naglašava potrebu za povećanom sviješću o sigurnosti na mreži i potrebom za oprezom prilikom traženja zaposlenja putem platformi na internetu. Biti informiran i prepoznati znakove prijevare može značajno umanjiti rizik od postajanja žrtvom ovih sofisticiranih napada.
