Noord-Koreaans hackersnetwerk viseert jobzoekende IT-ers

22 november 2023

UNIT 42, de onder­zoek­stak van cyber­se­cu­ri­ty­speler Palo Alto Networks, heeft een Noord-Koreaans netwerk ontdekt dat het gemunt heeft op jobzoe­kende soft­wa­re­ont­wik­ke­laars. De hackers­groep doet zich voor als werkgever en probeert tijdens het inter­vie­w­proces malware te laten instal­leren op de toestellen van de slacht­of­fers. De onder­zoe­kers vermoeden dat de crimi­nelen via die weg crypt­ova­luta proberen te stelen. De kans is ook groot dat ze het geïn­fec­teerde toestel gebruiken voor nieuwe aanvallen.

Bever en fret

De eerste tekenen van leven van het nieuwe hackers­col­lec­tief gaan terug tot december 2022. In maart 2023 kwam de criminele campagne op de radar van de onder­zoe­kers van Palo Alto Networks die het omdoopten tot “Conta­gious Interview”. Tijdens het onderzoek ontdekte UNIT 42 ook twee nieuwe malwa­re­fa­mi­lies. “Beaver­Tail” is een malware die gepro­gram­meerd is om infor­matie te stelen. “Invi­si­ble­Ferret” kan controle overnemen op afstand.

Recruitmentbureau

Ook in Noord-Korea zijn ze mee met de laatste ontwik­ke­lingen in HR en IT. Ontwik­ke­laars worden bijvoor­beeld via réclame benaderd op verschil­lende jobplat­formen. De adver­ten­ties die UNIT 42 kon vinden waren vaak anoniem of bewust erg vaag. Soms deden de hackers zich voor als mede­wer­kers van recruit­ment­bu­reaus of AI-bedrijven. Wanneer een eerste contact was gelegd, vond een eerste, online-interview plaats waar het slacht­offer werd overtuigd om software te down­lo­aden van GitHub.

Figuur 1: de volgorde van de aanval

GitHub

GitHub is een online ruimte waar ontwik­ke­laars kunnen samen­werken en software met elkaar kunnen delen. Cyber­cri­mi­nelen kunnen dus malware uploaden op het platform en laten down­lo­aden door onschul­dige slachtoffers.

Figuur 2: commen­taren op GitHub over Conta­gious Interview

Spionage in de VS

Naast deze malwa­re­cam­pagne ontdekten de onder­zoe­kers van Palo Alto Networks een tweede, zorg­wek­kende acti­vi­teit met als hoofd­zetel Noord-Korea. UNIT 42 merkte een sterke toename van het aantal solli­ci­ta­ties bij orga­ni­sa­ties gelegen in de VS. Het doel van die campagne is voorlopig nog ondui­de­lijk. Wellicht gaat het om spionage. De FBI heeft ook al vast­ge­steld dat Noord-Korea IT-ers gebruikt om haar wapenprogramma’s te finan­cieren.

Unit 42 vond een schat aan infor­matie over deze campagne, waaronder cv’s, vragen en scripts voor solli­ci­ta­tie­ge­sprekken, vacatures van Ameri­kaanse bedrijven en een gescande valse identiteitskaart.

Figuur 3: voorbeeld van een valse cv

Lees het rapport van UNIT 42 over de Noord-Koreaanse cyber­cri­mi­na­li­teit hier.

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

Pin It on Pinterest

Share This