Noord-Koreaans hackersnetwerk viseert jobzoekende IT-ers

22 november 2023

UNIT 42, de onderzoekstak van cybersecurityspeler Palo Alto Networks, heeft een Noord-Koreaans netwerk ontdekt dat het gemunt heeft op jobzoekende softwareontwikkelaars. De hackersgroep doet zich voor als werkgever en probeert tijdens het interviewproces malware te laten installeren op de toestellen van de slachtoffers. De onderzoekers vermoeden dat de criminelen via die weg cryptovaluta proberen te stelen. De kans is ook groot dat ze het geïnfecteerde toestel gebruiken voor nieuwe aanvallen.

Bever en fret

De eerste tekenen van leven van het nieuwe hackerscollectief gaan terug tot december 2022. In maart 2023 kwam de criminele campagne op de radar van de onderzoekers van Palo Alto Networks die het omdoopten tot “Contagious Interview”. Tijdens het onderzoek ontdekte UNIT 42 ook twee nieuwe malwarefamilies. “BeaverTail” is een malware die geprogrammeerd is om informatie te stelen. “InvisibleFerret” kan controle overnemen op afstand.

Recruitmentbureau

Ook in Noord-Korea zijn ze mee met de laatste ontwikkelingen in HR en IT. Ontwikkelaars worden bijvoorbeeld via reclame benaderd op verschillende jobplatformen. De advertenties die UNIT 42 kon vinden waren vaak anoniem of bewust erg vaag. Soms deden de hackers zich voor als medewerkers van recruitmentbureaus of AI-bedrijven. Wanneer een eerste contact was gelegd, vond een eerste, online-interview plaats waar het slachtoffer werd overtuigd om software te downloaden van GitHub.

Figuur 1: de volgorde van de aanval

GitHub

GitHub is een online ruimte waar ontwikkelaars kunnen samenwerken en software met elkaar kunnen delen. Cybercriminelen kunnen dus malware uploaden op het platform en laten downloaden door onschuldige slachtoffers.

Figuur 2: commentaren op GitHub over Contagious Interview

Spionage in de VS

Naast deze malwarecampagne ontdekten de onderzoekers van Palo Alto Networks een tweede, zorgwekkende activiteit met als hoofdzetel Noord-Korea. UNIT 42 merkte een sterke toename van het aantal sollicitaties bij organisaties gelegen in de VS. Het doel van die campagne is voorlopig nog onduidelijk. Wellicht gaat het om spionage. De FBI heeft ook al vastgesteld dat Noord-Korea IT-ers gebruikt om haar wapenprogramma’s te financieren.

Unit 42 vond een schat aan informatie over deze campagne, waaronder cv’s, vragen en scripts voor sollicitatiegesprekken, vacatures van Amerikaanse bedrijven en een gescande valse identiteitskaart.

Figuur 3: voorbeeld van een valse cv

Lees het rapport van UNIT 42 over de Noord-Koreaanse cybercriminaliteit hier.

redactie@belgiumcloud

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

Pin It on Pinterest

Share This