Sjevernokorejski hakeri koji stoje iza kampanje DeceptiveDevelopment koriste lažne regrutere da bi krali identitete programera i ustupali ih mreži lažnih IT radnika, navodi kompanija ESET.
Kampanja, prvi put detaljno opisana u februaru, aktivna je najmanje od 2023. godine i usmjerena je na programere u oblastima kriptovaluta i decentralizovanih finansija. Prevarni oglasi za posao koriste se kao mamac za krađu podataka i instalaciju malvera.
Slično operacijama Dream Job, Contagious Interview i ClickFake Interview, ova kampanja podrazumijeva objavljivanje lažnih ponuda na platformama kao što su LinkedIn, Upwork i Freelancer.com. Kada žrtva stupi u kontakt sa „regruterom“, poziva se na intervju tokom kojeg biva prevarena da pokrene maliciozni softver na svom računaru.
Iako je prvobitno djelovalo da je primarni cilj finansijska korist kroz krađu kriptovaluta ili infiltraciju u organizacije, ESET navodi da napadi imaju i sekundarni cilj – prikupljanje identiteta programera, koji se potom ustupaju sjevernokorejskim lažnim IT radnicima kako bi se predstavljali kao kandidati i dobijali poslove na daljinu.
„Da bi obezbijedili stvarno radno mjesto, oni koriste više taktika, uključujući proxy intervjue, korišćenje ukradenih identiteta i kreiranje sintetičkih identiteta pomoću AI alata“, navodi ESET.
Putem društvenog inženjeringa i lažnih profila regrutera, hakeri nude prividno unosne poslove, a zapravo inficiraju sisteme malverima kao što su BeaverTail, InvisibleFerret i OtterCookie.
Tokom prošle godine korišćeni su i alati poput WeaselStore (poznat i kao GolangGhost i FlexibleFerret), njegov Python varijant PylangGhost, kao i špijunski softver TsunamiKit, koji pored špijunaže instalira i kripto-minere.
U aprilu su istraživači zabilježili malver Tropidoor, koji dijeli značajan dio koda sa Lazarusovim PostNapTea RAT-om, dok je u avgustu otkrivena varijanta AkdoorTea.
Istraga ESET-a otkriva blisku saradnju između DeceptiveDevelopment kampanje i mreže sjevernokorejskih lažnih IT radnika, koju ova kompanija prati pod nazivom WageMole. „Iako aktivnosti sprovode dvije različite grupe, vrlo je vjerovatno da su povezane i da sarađuju“, ističe ESET u izvještaju.
Lažni IT radnici najčešće ciljaju zapadne zemlje, posebno SAD, dok se u Evropi fokusiraju na Francusku, Poljsku, Ukrajinu i Albaniju.
„Svaki tim ima svog ‘šefa’ koji nadgleda operacije, postavlja kvote i koordinira zadatke. Članovi tima imaju obaveze da pribave poslove, obavljaju zadatke i dodatno se edukuju radi usavršavanja“, navodi se u izvještaju.
Ovi radnici se ne ograničavaju samo na programerske poslove. Neki se predstavljaju kao građevinski inženjeri i arhitekte, lažno koristeći imena postojećih kompanija i pečate odobrenja na falsifikovanim projektima.
Takođe, ulažu značajne napore u samoedukaciju, oslanjajući se na javno dostupne materijale i tutorijale, posebno iz oblasti web programiranja, blockchain tehnologije, engleskog jezika i, u poslednje vrijeme, primjene vještačke inteligencije u web aplikacijama.
Izvor: SecurityWeek
