Haker povezan sa Sjevernom Korejom, za kojeg se smatra da stoji iza velike hakovanja Bybit platforme u februaru 2025. godine, povezan je sa maliciozni kampanjom koja cilja programere kako bi im isporučila novi “stealer” malver, predstavljajući se kao zadatak kodiranja.
Aktivnost je pripisana od strane istraživačkog tima Palo Alto Networks Unit 42 hakerskoj grupi koju prate pod nazivom Slow Pisces, a koja je poznata i kao Jade Sleet, PUKCHONG, TraderTraitor i UNC4899.
„Slow Pisces je kontaktirao programere kriptovaluta putem LinkedIna, predstavljajući se kao potencijalni poslodavci i šaljući malver maskiran kao zadatak kodiranja,“ rekao je sigurnosni istraživač Prashil Pattni. „Ovi zadaci zahtijevaju od programera da pokrenu kompromitovani projekat, čime se njihovi sistemi inficiraju malverima koje smo nazvali RN Loader i RN Stealer.“
Slow Pisces ima historiju ciljanog napadanja programera, uglavnom u sektoru kriptovaluta, pri čemu ih kontaktiraju putem LinkedIna pod izgovorom lažnih poslovnih prilika i nagovaraju ih da otvore PDF dokument sa zadatkom kodiranja, koji se nalazi na GitHubu.
U julu 2023. godine, GitHub je otkrio da su radnici iz oblasti blockchaina, kriptovaluta, online klađenja i cyber sigurnosti bili ciljani od strane ovog haera koji ih je prevario da pokrenu maliciozne npm pakete.
U junu prošle godine, Mandiant u vlasništvu Google-a opisao je modus operandi napadača, koji počinje slanjem bezopasnog PDF dokumenta putem LinkedIna s opisom lažnog posla, a zatim, ukoliko meta pokaže interesovanje, šalje i upitnik o vještinama.
Upitnik je uključivao uputstva za završavanje zadatka kodiranja preuzimanjem trojaniziranog Python projekta sa GitHuba, koji je navodno služio za pregled cijena kriptovaluta, ali je zapravo bio dizajnisan da kontaktira udaljeni server i preuzme dodatni maliciozni kod, ako se ispune određeni uslovi.
Višestepeni lanac napada koji je dokumentovao Unit 42 koristi isti pristup, pri čemu se maliciozne sadržaj šalje samo validiranim metama, vjerovatno na osnovu IP adrese, geolokacije, vremena i HTTP zaglavlja zahtjeva.
Činjenica da taktike hakeru nisu promijenjene ni nakon toliko vremena vjerovatno ukazuje na ciljani karakter kampanje, što im omogućava da ostanu neotkriveni.
„Prije Bybit hakovanja, gotovo da nije postojalo detaljno izvještavanje o kampanji u otvorenim izvorima, pa je moguće da hakeri nisu osjećali potrebu za promjenama,“ rekao je Andy Piazza, viši direktor za obavještajne podatke o prijetnjama u Palo Alto Networks Unit 42, za The Hacker News.
„Kampanja se stalno ažurira, poboljšavajući njihovu OPSEC (operativnu sigurnost) na sajtovima poput GitHuba, varirajući mamce i načine na koje se izvršavaju maliciozne kodovi. Što se tiče uslova za aktiviranje malvera, oni i mnogi drugi hakeri to rade kako bi spriječili da njihovi kasniji alati padnu u ruke istraživača ili drugih osoba koje nisu mete, čime se omogućava duža upotreba istih alata bez potrebe za čestim ažuriranjem.“
„Fokusiranje na pojedince kontaktirane putem LinkedIna, umjesto šire phishing kampanje, omogućava grupi da preciznije kontroliše kasnije faze kampanje i isporuči malver samo očekivanim metama,“ rekao je Pattni. „Kako bi izbjegli sumnjive eval i exec funkcije, Slow Pisces koristi YAML deserializaciju za izvršavanje svog zlonamjernog koda.“
Malver se konfiguriše tako da izvrši RN Loader, koji šalje osnovne informacije o žrtvinom računaru i operativnom sistemu putem HTTPS-a ka istom serveru, te zatim prima i izvršava naredni maliciozni fajl kodiran u Base64 formatu.
Novopreuzeti malver je RN Stealer, program za krađu podataka sposoban da prikuplja osjetljive informacije sa zaraženih Apple macOS sistema. Ovo uključuje metapodatke sistema, instalirane aplikacije, listu direktorija i sadržaj glavnog direktorija korisnika, iCloud Keychain, pohranjene SSH ključeve i konfiguracione fajlove za AWS, Kubernetes i Google Cloud.
„Infostealer prikuplja detaljnije informacije o žrtvi, koje napadači vjerovatno koriste da odluče da li im je potreban dalji pristup,“ saopštio je Unit 42.
Žrtve koje se prijave za JavaScript poziciju takođe budu pozvane da preuzmu projekt pod nazivom “Cryptocurrency Dashboard” sa GitHuba, koji koristi sličnu strategiju gdje C2 (command-and-control) server isporučuje dodatne maliciozne fajlove samo ako meta ispuni određene kriterije. Međutim, priroda samog fajla ostaje nepoznata.
„Repozitorij koristi Embedded JavaScript (EJS) alat za template-ovanje, gdje se odgovori sa C2 servera šalju funkciji ejs.render(),“ rekao je Pattni. „Kao i upotreba yaml.load(), ovo je još jedna tehnika koju koristi Slow Pisces kako bi prikrio izvršavanje proizvoljnog koda sa svojih C2 servera, a metoda je vjerovatno vidljiva samo prilikom gledanja validnog payload-a.“
Jade Sleet je jedna od mnogih grupa prijetnji povezanih sa Sjevernom Korejom koje koriste lažne poslovne ponude kao način distribucije malvera. Druge grupe uključuju Operation Dream Job, Contagious Interview, Alluring Pisces i Moonstone Sleet.
„Ponavljanje napada na programere i upotreba npm ili Python paketa dešava se jer programeri često imaju pristup resursima koji su napadačima zanimljivi, poput kriptovaluta,“ rekao je Piazza. „To onda vodi do kampanja orijentisanih ka programerima, često kroz izazove kodiranja za lažne poslove koji uključuju pokretanje koda – i malvera.“
Sigurnosna kompanija navodi da kampanja grupe Slow Pisces cilja manji broj, ali visoko vrijednih meta u poređenju s drugim grupama iz Sjeverne Koreje.
„Ove grupe ne dijele operativne resurse. Međutim, činjenica da koriste slične početne vektore infekcije je vrijedna pažnje,“ zaključuje Unit 42. „Slow Pisces se izdvaja po svojoj operativnoj sigurnosti. Dostava malvera u svakoj fazi je strogo kontrolisana i maliciozni kod postoji samo u memoriji. Kasniji alati se aktiviraju samo kada je to zaista potrebno.“
(Ova priča je ažurirana nakon objavljivanja kako bi uključivala dodatne uvide iz Palo Alto Networks Unit 42.)
Izvor:The Hacker News