Zo pakken Noord-Koreaanse hackers achter de Bybit-roof van $1,4 miljard crypto-ontwikkelaars aan.

Een Noord-Koreaanse hackergroep richt zich op ontwikkelaars van cryptocurrency via een nieuwe oplichtingspraktijk voor vacatures, waarbij informatie-stelende malware in het systeem van het slachtoffer wordt geïnjecteerd.

Volgens een recent rapport van cybersecuritybedrijf Palo Alto Networks' Unit 42 heeft de beruchte hackergroep, bekend onder aliassen als Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor of UNC4899, zich op LinkedIn voorgedaan als recruiter.

Zodra er contact is gelegd, worden ontwikkelaars gelokt met nep-vacatures, gevolgd door een ogenschijnlijk routineuze programmeertest.

Maar verborgen in deze op GitHub gehoste projecten zit een toolkit voor het stelen van malware die stilletjes de machine van het slachtoffer infecteert.

Aanvankelijk wordt kandidaten gevraagd een bestand uit te voeren dat er doorgaans uitziet als een eenvoudige programmeertaak, maar na uitvoering op het systeem van het slachtoffer wordt malware genaamd RN Loader uitgevoerd die systeeminformatie terugstuurt naar de aanvaller.

Als het doelwit is geverifieerd, wordt een tweede fase-payload, RN Stealer, ingezet, die alles kan verzamelen, van SSH-sleutels en iCloud-gegevens tot Kubernetes- en AWS-configuratiebestanden.

Wat deze campagne bijzonder gevaarlijk maakt, is het heimelijke karakter ervan. De malware wordt alleen onder bepaalde voorwaarden geactiveerd, zoals een specifiek IP-adres of bepaalde systeeminstellingen, waardoor het voor onderzoekers moeilijker is om deze te detecteren.

Het programma draait ook volledig in het geheugen, waardoor er zeer weinig digitale sporen achterblijven.

De langzame Pisces is in verband gebracht met spraakmakende diefstallen, waaronder de Bybit-hack van $1,4 miljard eerder dit jaar.

De tactieken van de groep zijn in de loop der tijd niet veel veranderd, wat volgens Unit 42 mogelijk te wijten is aan het succes en de gerichte aard van hun methoden.

"Voor de Bybit-hack was er weinig gedetailleerde informatie en rapportage over de campagne in open source, dus het is mogelijk dat de dreigingsactoren geen reden zagen om hun aanpak te veranderen," aldus Andy Piazza, Senior Director of Threat Intelligence bij Unit 42.

Volgens onderzoekers hebben de dreigingsactoren hun operationele beveiliging zelfs verbeterd en werden ze gezien bij het gebruik van YAML- en JavaScript-templatingtrucs om kwaadaardige commando's te verbergen.

"Door zich te richten op individuen die via LinkedIn worden benaderd, in plaats van op brede phishingcampagnes, kan de groep de latere stadia van de campagne nauwlettend controleren en payloads alleen aan verwachte slachtoffers leveren," voegde beveiligingsonderzoeker Prashil Pattni eraan toe.

Noord-Koreaanse hackers richten zich op IT-professionals.

Noord-Koreaanse hackergroepen zijn verantwoordelijk geweest voor enkele van de grootste cyberaanvallen in de cryptosector.

Gegevens van Arkham Intelligence tonen aan dat een wallet die gelinkt is aan de Noord-Koreaanse Lazarus Group op het moment van rapporteren meer dan $800 miljoen aan Bitcoin bevatte.

Een rapport van Google Threat Intelligence Group, dat eerder deze maand werd gepubliceerd, meldde een toename van Noord-Koreaanse IT-medewerkers die tech- en cryptobedrijven infiltreerden, vooral in Europa.

Vorig jaar meldde Invezz dat twee hackergroepen met de aliassen Sapphire Sleet en Ruby Sleet verantwoordelijk waren voor aanzienlijke verliezen in de cryptowereld.

Kwaadwillenden bleken zich voor te doen als recruiters, investeerders en zelfs medewerkers van de beoogde bedrijven om de eerste beveiligingscontroles te omzeilen en malware te plaatsen.

Sapphire Sleet richtte zich sterk op cryptobedrijven en zou binnen zes maanden minstens $10 miljoen naar het Noord-Koreaanse regime hebben kunnen sluizen.