COVERTCATCH 恶意软件

朝鲜威胁行为者被发现利用 LinkedIn 通过虚假招聘计划来攻击开发人员。一种关键策略是使用编码测试作为初始感染方法。在与目标聊天后，攻击者发送一个伪装成 Python 编码挑战的 ZIP 文件，其中实际上包含 COVERTCATCH 恶意软件。一旦执行，该恶意软件就会对目标的 macOS 系统发起攻击，下载第二阶段有效负载以使用启动代理和启动守护程序建立持久性。

朝鲜仍是网络犯罪的主要参与者

然而，这只是朝鲜黑客组织利用与工作相关的诱饵传播恶意软件的各种活动中的一个例子，例如“梦想工作行动”和“传染性面试”。

以招募为主题的策略也常用于部署RustBucket和KANDYKORN等恶意软件家族。目前尚不清楚 COVERTCATCH 是否与这些恶意软件或新发现的TodoSwift有关。

研究人员发现了一项社会工程活动，其中一份损坏的 PDF 被伪装成一家大型加密货币交易所“财务和运营副总裁”的职位描述。该 PDF 植入了名为 RustBucket 的第二阶段恶意软件，这是一种支持文件执行的基于 Rust 的后门。

RustBucket 植入程序可以收集基本系统信息、与指定的 URL 进行通信并通过伪装成“Safari 更新”的启动代理建立持久性，从而使其能够联系硬编码的命令和控制 (C2) 域。

朝鲜黑客组织持续发展

朝鲜对 Web3 组织的关注不仅限于社会工程学，还包括软件供应链攻击，最近涉及 3CX 和 JumpCloud 的事件就证明了这一点。一旦攻击者通过恶意软件建立访问权限，他们就会转向密码管理器收集凭据，通过代码存储库和文档进行内部侦察，并渗透到云托管环境中以发现热钱包密钥并最终窃取资金。

与此同时，美国联邦调查局 (FBI) 发出警告，警告称朝鲜威胁行为者正以高度专业化且难以察觉的社会工程活动为目标，攻击加密货币行业。

这些持续不断的行动通常涉及冒充招聘公司或熟人，提供就业或投资机会。这些策略为大胆的加密货币盗窃提供了途径，旨在为仍受到国际制裁的朝鲜赚取非法收入。

威胁者使用个性化策略感染目标

这些行为者使用的关键策略包括：

• 针对加密货币相关业务。
• 在接触受害者之前，进行彻底的术前研究。
• 创建高度个性化的虚假场景以增加成功的可能性。

他们可能会提及个人信息，例如兴趣、从属关系、事件、关系或专业联系，受害者可能认为只有少数人知道这些信息。这种方法旨在建立融洽关系并最终传播恶意软件。

如果他们成功建立沟通，最初的行为者或其他团队成员可能会投入大量时间与受害者互动，以增强合法性的外表并培养熟悉感和信任感。