Los actores de amenazas vinculados a Corea del Norte relacionados con la campaña Contagious Interview se han atribuido a una puerta trasera previamente indocumentada llamada AkdoorTea, junto con herramientas como TsunamiKit y Tropidoor.
La firma eslovaca de ciberseguridad ESET, que está rastreando la actividad con el nombre de DeceptiveDevelopment, dijo que la campaña se dirige a los desarrolladores de software de todos los sistemas operativos, Windows, Linux y macOS, en particular a los que participan en proyectos de criptomonedas y Web3. También se la conoce como DEV #POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
«El conjunto de herramientas de DeceptiveDevelopment es en su mayoría multiplataforma y consiste en scripts maliciosos inicialmente ofuscados en Python y JavaScript, puertas traseras básicas en Python y Go y un proyecto de web oscura en .NET», dijeron los investigadores de ESET Peter Kálnai y Matěj Havránek dijo en un informe compartido con The Hacker News.
Básicamente, la campaña involucra a los reclutadores suplantados que ofrecen lo que parecen ser puestos de trabajo lucrativos en plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List. Tras un primer contacto, si el posible destinatario expresa interés en la oportunidad, se le pide que complete una evaluación en vídeo haciendo clic en un enlace o realizando un ejercicio de codificación.
La tarea de programación requiere que proyectos de clonación alojados en GitHub, que instalan malware de forma silenciosa. Por otro lado, los sitios web creados explícitamente para llevar a cabo la denominada evaluación por vídeo muestran errores inexistentes relacionados con el bloqueo del acceso a la cámara o al micrófono, y les instan a seguir los pasos Instrucciones al estilo ClickFix para corregir el problema iniciando la línea de comandos o la aplicación Terminal, según el sistema operativo utilizado.
Independientemente del método empleado, generalmente se ha descubierto que los ataques lanzan varios tipos de malware, como Cola de castor, hurón invisible , Galleta de nutria , Fantasma de Golang (también conocido como FlexibleFerret o WeaselStore) y Fantasma de Pylang .
«La funcionalidad de WeaselStore es bastante similar a la de BeaverTail e InvisibleFerret, y el objetivo principal es la exfiltración de datos confidenciales de los navegadores y carteras de criptomonedas», afirma ESET. «Una vez filtrados los datos, WeaselStore, a diferencia de los ladrones de información tradicionales, continúa comunicándose con su servidor C&C, que actúa como un RAT capaz de ejecutar varios comandos».
También se implementan como parte de estas secuencias de infección Kit para tsunamis , PostNaptea y Puerta tropical , el primero de los cuales es un conjunto de herramientas de malware entregado por InvisibleFerret y está diseñado para el robo de información y criptomonedas. El uso de TsunamiKit se descubrió por primera vez en noviembre de 2024.
El conjunto de herramientas consta de varios componentes, cuyo punto de partida es la etapa inicial de TsunamiLoader, que desencadena la ejecución de un inyector (TsunamiInjector), que, a su vez, deja caer TsunamiInstaller y TsunamiHardener.
Mientras que TsunamiInstaller actúa como un gotero de TsunamiClientInstaller que, a continuación, descarga y ejecuta TsunamiClient, TsunamiHardener es responsable de configurar la persistencia para TsunamiClient, así como de configurar las exclusiones de Microsoft Defender. TsunamiClient es el módulo principal que incorpora un programa espía de.NET y elimina a los mineros de criptomonedas como XMRig y NBMiner.
Se cree que es probable que TsunamiKit sea una modificación de un proyecto de la web oscura y no una creación nativa del actor de la amenaza, dado que se descubrieron muestras relacionadas con el conjunto de herramientas que datan de diciembre de 2021, antes del inicio de Contagious Interview, que se cree que comenzó a finales de 2022.
También se ha descubierto que el robador y descargador BeaverTail actúa como vehículo de distribución de otro malware conocido como Tropidoor que, según ASEC, se superpone con una herramienta del Grupo Lazarus llamada Scan sin luz . ESET dijo que encontró pruebas de artefactos de Tropidoor subidos a VirusTotal desde Kenia, Colombia y Canadá, y añadió que el malware también comparte «grandes porciones de código» con Después de Nap Tea , un malware utilizado por el actor de amenazas contra objetivos surcoreanos en 2022.
PostNaptea admite comandos para actualizaciones de configuración, manipulación de archivos y capturas de pantalla, administración de sistemas de archivos, administración de procesos y ejecución de versiones personalizadas de comandos de Windows como whoami, netstat, tracert, lookup, ipconfig y systeminfo, entre otros, para mejorar el sigilo, una función que también está presente en LightlessScan.
«Tropidoor es la carga útil más sofisticada hasta ahora vinculada al grupo DeceptiveDevelopment, probablemente porque se basa en el malware desarrollado por los actores de amenazas más avanzados desde el punto de vista técnico bajo el paraguas de Lazarus», afirma ESET.
|
| Cadena de ejecución de WeaselStore |
La última incorporación al arsenal del actor de amenazas es un troyano de acceso remoto denominado AkDoorTea que se entrega mediante un script por lotes de Windows. El script descarga un archivo ZIP (» nvidiaRelease.zip «) y ejecuta un script de Visual Basic que contiene, y luego lanza las cargas útiles de BeaverTail y AkdoorTea que también se encuentran en el archivo.
Vale la pena señalar que la campaña ha aprovechado las actualizaciones de controladores con temática de NVIDIA en el pasado como parte de Ataques ClickFix a abordar supuestos problemas con la cámara o el micrófono al proporcionar las evaluaciones en vídeo, lo que indica que este enfoque se está utilizando para propagar AkdoorTea.
AkdoorTea recibe su nombre del hecho de que comparte puntos en común con Akdoor , que es descrito como variante del NukeSpeed (también conocido como Manuscripto ) implante: refuerza aún más las conexiones de Contagious Interview con el más grande Paraguas del Grupo Lazarus .
«Los TTP de DeceptiveDevelopment ilustran un modelo de sus operaciones más distribuido y orientado al volumen. A pesar de carecer a menudo de sofisticación técnica, el grupo lo compensa mediante la escala y la ingeniería social creativa», afirmó ESET.
«Sus campañas demuestran un enfoque pragmático, ya que explotan las herramientas de código abierto, reutilizan los proyectos de la web oscura disponibles, adaptan el malware probablemente alquilado a otros grupos alineados con Corea del Norte y aprovechan las vulnerabilidades humanas a través de ofertas de trabajo falsas y plataformas de entrevistas».
Contagious Interview no funciona de forma aislada, ya que también se ha descubierto que comparte cierto nivel de superposiciones con la fraudulenta de Pyongyang Esquema de trabajadores de TI (también conocido como WageMole), y el Zscaler señala que la inteligencia extraído de la primera es utilizada por actores norcoreanos para conseguir puestos de trabajo en aquellas empresas que utilizan identidades robadas y fabricación de personas sintéticas . Se cree que la amenaza para los trabajadores de TI fue en curso desde 2017 .
|
| Conexión entre Contagious Interview y WageMole |
La empresa de ciberseguridad Trellix, en un informe publicado esta semana, decía que había descubierto un caso de fraude laboral de un trabajador de TI norcoreano contra una empresa de salud estadounidense, en el que una persona con el nombre de «Kyle Lankford» solicitó un puesto de ingeniero principal de software.
Si bien el solicitante de empleo no lanzó ninguna señal de alerta durante las primeras etapas del proceso de contratación, Trellix dijo que pudo correlacionar sus direcciones de correo electrónico con los indicadores conocidos de trabajadores de TI de Corea del Norte. Un análisis más detallado de los intercambios de correos electrónicos y las verificaciones de antecedentes identificaron al candidato como un probable agente norcoreano, añadió.
«Las actividades de los trabajadores de TI de Corea del Norte constituyen una amenaza híbrida», señaló ESET. «Este esquema de fraude a sueldo combina operaciones delictivas clásicas, como el robo de identidad y el fraude con identidad sintética, con herramientas digitales, que lo clasifican como un delito tradicional y un delito cibernético (o delito electrónico)».