Os atores de ameaças ligados à Coreia do Norte foram responsáveis por um terço de todas as atividades de phishing direcionadas ao Brasil desde 2020, uma vez que a emergência do país como uma potência influente atraiu a atenção de grupos de espionagem cibernética.
“Atores apoiados pelo governo norte-coreano têm como alvo o governo brasileiro e os setores aeroespacial, de tecnologia e de serviços financeiros do Brasil”, disseram as divisões Mandiant e Risk Evaluation Group (TAG) do Google em um relatório conjunto publicado esta semana.
“Semelhante aos seus interesses em outras regiões, as empresas de criptomoeda e tecnologia financeira têm sido um foco specific, e pelo menos três grupos norte-coreanos têm como alvo empresas brasileiras de criptomoeda e fintech.”
Proeminente entre esses grupos está um ator de ameaça rastreado como UNC4899 (também conhecido como Jade Sleet, PUKCHONG e TraderTraitor), que tem como alvo profissionais de criptomoeda com um aplicativo Python trojanizado com malware.
As cadeias de ataque envolvem o alcance de alvos potenciais por meio da mídia social e o envio de um documento PDF benigno contendo uma descrição de cargo para uma suposta oportunidade de emprego em uma conhecida empresa de criptomoeda.
Caso o alvo expresse interesse na oferta de emprego, o agente da ameaça envia um segundo documento PDF inofensivo com um questionário de habilidades e instruções para concluir uma tarefa de codificação baixando um projeto do GitHub.
“O projeto period um aplicativo Python trojanizado para recuperar preços de criptomoedas que foi modificado para chegar a um domínio controlado pelo invasor para recuperar uma carga útil de segundo estágio se condições específicas fossem atendidas”, disseram os pesquisadores da Mandiant e da TAG.
Esta não é a primeira vez que UNC4899, atribuído ao hack JumpCloud de 2023, aproveita essa abordagem. Em julho de 2023, o GitHub alertou sobre um ataque de engenharia social que buscava enganar funcionários que trabalham em empresas de blockchain, criptomoeda, jogos de azar on-line e segurança cibernética para que executassem código hospedado em um repositório GitHub usando pacotes npm falsos.
Campanhas de engenharia social com tema de trabalho são um tema recorrente entre grupos de hackers norte-coreanos, com a gigante da tecnologia também detectando uma campanha orquestrada por um grupo que rastreia como PAEKTUSAN para entregar um malware de obtain C++ conhecido como AGAMEMNON por meio de anexos do Microsoft Phrase incorporados em e-mails de phishing. .
“Em um exemplo, a PAEKTUSAN criou uma conta se passando por diretor de RH de uma empresa aeroespacial brasileira e a usou para enviar e-mails de phishing para funcionários de uma segunda empresa aeroespacial brasileira”, observaram os pesquisadores, acrescentando que as campanhas são consistentes com uma atividade de longa duração. rastreado como Operação Dream Job.
“Em uma campanha separada, PAEKTUSAN se disfarçou como recrutador de uma grande empresa aeroespacial dos EUA e procurou profissionais no Brasil e em outras regiões por e-mail e mídias sociais sobre possíveis oportunidades de emprego.”
O Google disse ainda que bloqueou tentativas de outro grupo norte-coreano chamado PRONTO de atingir diplomatas com iscas de e-mail relacionadas à desnuclearização e notícias para induzi-los a visitar páginas de coleta de credenciais ou fornecer suas informações de login para visualizar um suposto documento PDF.
O desenvolvimento ocorre semanas depois que a Microsoft lançou luz sobre um ator de ameaça anteriormente não documentado de origem norte-coreana, de codinome Moonstone Sleet, que destacou indivíduos e organizações nos setores de software program e tecnologia da informação, educação e base industrial de defesa com ataques de ransomware e espionagem. .
Entre as táticas dignas de nota do Moonstone Sleet está a distribuição de malware por meio de pacotes npm falsificados publicados no registro npm, espelhando o do UNC4899. Dito isto, os pacotes associados aos dois clusters possuem estilos e estruturas de código distintos.
“Os pacotes do Jade Sleet, descobertos durante o verão de 2023, foram projetados para funcionar em pares, com cada par sendo publicado por uma conta de usuário npm separada para distribuir sua funcionalidade maliciosa”, disseram os pesquisadores da Checkmarx, Tzachi Zornstein e Yehuda Gelb.
“Em contraste, os pacotes publicados no last de 2023 e início de 2024 adotaram uma abordagem de pacote único mais simplificada que executaria sua carga imediatamente após a instalação. No segundo trimestre de 2024, os pacotes aumentaram em complexidade, com os invasores adicionando ofuscação e tendo ele também tem como alvo sistemas Linux.”
Independentemente das diferenças, a tática abusa da confiança que os usuários depositam nos repositórios de código aberto, permitindo que os atores da ameaça alcancem um público mais amplo e aumentando a probabilidade de que um de seus pacotes maliciosos possa ser instalado inadvertidamente por desenvolvedores involuntários.
A divulgação é significativa, até porque marca uma expansão do mecanismo de distribuição de malware do Moonstone Sleet, que anteriormente dependia da disseminação de pacotes npm falsos usando o LinkedIn e websites de freelancers.
As descobertas também seguem a descoberta de uma nova campanha de engenharia social realizada pelo grupo Kimsuky, ligado à Coreia do Norte, na qual se fez passar pela agência de notícias Reuters para atacar ativistas norte-coreanos de direitos humanos e distribuir malware para roubo de informações sob o disfarce de um pedido de entrevista, de acordo com aos Genianos.
