ESET-medewerkers hebben een campagne geanalyseerd die malware levert gebundeld met uitdagingen voor sollicitatiegesprekken.
Cybercriminelen benaderen hun doelwitten vaak onder het mom van recruiters en lokken hen met valse baanaanbiedingen. Wat is immers een beter moment om toe te slaan dan wanneer een potentiële slachtoffer afgeleid is door een veelbelovende carrièrekans?
Sinds begin 2024 hebben ESET-onderzoekers een reeks gerichte aanvallen waargenomen, gelinkt aan Noord-Korea. Hierbij doen aanvallers zich voor als headhunters en bieden ze softwareprojecten aan die verborgen infostealing-malware bevatten. ESET noemt dit cluster van activiteiten DeceptiveDevelopment.
Wie zit erachter DeceptiveDevelopment?
Uit ESET’s analyse blijkt dat DeceptiveDevelopment waarschijnlijk wordt aangestuurd door een Noord-Koreaanse dreigingsactor. Dit wordt onderbouwd door meerdere factoren:
- ESET heeft connecties waargenomen tussen door de aanvallers beheerde GitHub-accounts en accounts met valse cv’s die door Noord-Koreaanse IT-werkers worden gebruikt. De geobserveerde connecties bestonden uit wederzijdse volgers op GitHub, waarbij de ene kant gelinkt was aan DeceptiveDevelopment en de andere valse cv’s en ander materiaal over Noord-Koreaanse IT-werkers bevatte. Soortgelijke connecties werden ook gerapporteerd door Unit 42. Helaas zijn de betreffende GitHub-pagina’s verwijderd voordat al het bewijsmateriaal kon worden vastgelegd.
- Overeenkomsten in de tactieken, technieken en procedures (TTPs) – zoals het gebruik van valse recruiters, getrojanizeerde sollicitatieopdrachten en software tijdens interviews – met andere Noord-Korea-gerelateerde activiteiten (Moonstone Sleet, en de DreamJob- en DangerousPassword-campagnes van Lazarus).
Naast de connecties tussen de GitHub-profielen valt op dat de gebruikte malware vrij eenvoudig is. Dit sluit aan bij de bevindingen van Mandiant, waarin wordt gesteld dat het werk van deze Noord-Koreaanse IT-werkers vaak van lage kwaliteit is.
Tijdens de monitoring van DeceptiveDevelopment heeft ESET meerdere gevallen gezien waarin de dreigingsactoren slordigheden vertoonden. In sommige gevallen verwijderden de auteurs geen ontwikkelingsnotities of commentaarregels met lokale IP-adressen die werden gebruikt voor ontwikkeling en tests. Daarnaast gebruikt de malware gratis beschikbare obfuscation-tools, waarbij in sommige gevallen de links naar deze tools per ongeluk in de codecommentaren zijn achtergelaten.
Wie zijn de doelwitten?
De primaire doelwitten van deze DeceptiveDevelopment-campagne zijn softwareontwikkelaars, met name degenen die werken aan cryptocurrency- en decentralized finance (DeFi)-projecten. De aanvallers maken geen onderscheid op basis van geografische locatie en proberen zoveel mogelijk slachtoffers te infecteren om de kans op succesvolle diefstal van fondsen en informatie te vergroten. We hebben wereldwijd honderden verschillende slachtoffers waargenomen op alle drie de grote besturingssystemen – Windows, Linux en macOS. Dit varieerde van junior ontwikkelaars die net aan hun freelancecarrière begonnen tot zeer ervaren professionals.
We hebben alleen interacties tussen de aanvallers en slachtoffers in het Engels waargenomen, maar we kunnen niet met zekerheid zeggen dat de aanvallers geen vertaaltools gebruiken om te communiceren met niet-Engelssprekende doelwitten.
Hoe hebben de aanvallers toegang verkregen?
Om zich voor te doen als recruiters, kopiëren de aanvallers bestaande profielen van echte mensen of creëren ze volledig nieuwe persona’s. Vervolgens benaderen ze hun potentiële slachtoffers rechtstreeks via platforms voor werkzoekenden en freelancers, of plaatsen ze daar valse vacatures. In de beginfase gebruikten de aanvallers gloednieuwe profielen en stuurden ze simpelweg links naar kwaadaardige GitHub-projecten via LinkedIn naar hun beoogde doelwitten. Later begonnen ze profielen te gebruiken die er betrouwbaarder uitzagen, met veel volgers en connecties, en breidden ze hun activiteiten uit naar een groter aantal vacature- en code-hostingwebsites. Sommige van deze profielen zijn door de aanvallers zelf opgezet, terwijl andere mogelijk gecompromitteerde accounts zijn van echte gebruikers, aangepast door de aanvallers.
Sommige van de platforms waar deze interacties plaatsvinden, zijn algemene vacaturewebsites, terwijl andere zich specifiek richten op cryptocurrency- en blockchainprojecten, wat beter aansluit bij de doelen van de aanvallers. De gebruikte platforms omvatten onder andere:
-
LinkedIn
-
Upwork
-
Freelancer.com
-
We Work Remotely
-
Moonlight
-
Crypto Jobs List
De meest voorkomende vector voor compromittering is dat de valse recruiter het slachtoffer een getrojaniseerd project aanbiedt, vermomd als een programmeeruitdaging om aangenomen te worden of als een verzoek om een bug te verhelpen tegen financiële beloning.
Slachtoffers ontvangen de projectbestanden rechtstreeks via bestandsoverdracht op het platform of via een link naar een repository zoals GitHub, GitLab of Bitbucket. Ze worden gevraagd de bestanden te downloaden, functies toe te voegen of bugs op te lossen en hierover te rapporteren aan de recruiter. Daarnaast krijgen ze de opdracht om het project te bouwen en uit te voeren om het te testen—het moment waarop het eerste compromis plaatsvindt.
De gebruikte repositories zijn meestal privé, waardoor het slachtoffer eerst wordt gevraagd zijn account-ID of e-mailadres te verstrekken om toegang te krijgen. Dit lijkt bedoeld om de kwaadaardige activiteiten te verbergen voor onderzoekers.
Desondanks hebben we veel gevallen waargenomen waarin deze repositories openbaar beschikbaar waren. In die gevallen bleken ze meestal afkomstig van slachtoffers die, na het voltooien van hun opdrachten, de projecten naar hun eigen repositories hadden geüpload. Alle waargenomen kwaadaardige code is gerapporteerd aan de betreffende diensten.
Conclusie
DeceptiveDevelopment is een aanvulling op een bredere strategie van Noord-Koreaanse cyberoperaties om cryptovaluta te stelen. De campagne laat een duidelijke verschuiving zien naar geavanceerdere malware en een geraffineerdere aanpak om slachtoffers te misleiden.
Werkzoek- en freelanceplatforms blijven kwetsbaar voor misbruik door valse recruiters. De aanvalstechnieken worden steeds geavanceerder, en het is waarschijnlijk dat DeceptiveDevelopment zich zal blijven ontwikkelen.
DeceptiveDevelopment campagne onderstreept het belang van:
- Waakzaamheid bij online sollicitaties – Wees sceptisch over recruiters die je vragen bestanden van externe bronnen te downloaden.
- Beveiligde ontwikkelomgevingen – Gebruik sandboxing en endpoint security-oplossingen, zoals die van ESET, om malware te detecteren.
- Regelmatige controle van online profielen – Controleer de betrouwbaarheid van recruiters en vacaturesites.
ESET blijft deze dreiging volgen en waarschuwt softwareontwikkelaars om alert te blijven op verdachte aanbiedingen en ongevraagde programmeeropdrachten.
Technische details van de aanval in een notendop
Stap 1: Initiële toegang
De aanvallers creëren overtuigende nep-recruiterprofielen en publiceren valse vacatures. Slachtoffers ontvangen een gecompromitteerd softwareproject via GitHub of een andere code-hostingdienst. In sommige gevallen worden zij ook gevraagd software te downloaden van nagemaakte websites van populaire videoconferencingtools.
Stap 2: Infectie
met BeaverTail Bij uitvoering van de malafide code installeert BeaverTail zichzelf en begint met: Diefstal van inloggegevens, crypto-wallets en browsergegevens. Downloaden van de volgende malwarelaag, InvisibleFerret.
Stap 3: Activatie van InvisibleFerret
Deze tweede malwarelaag stelt aanvallers in staat: Bestanden en inloggegevens te stelen. Keyloggers en clipboardsniffers te activeren. Op afstand de controle over het geïnfecteerde systeem over te nemen via de legitieme beheertool AnyDesk.
Stap 4: Exfiltratie en persistente toegang
InvisibleFerret stuurt alle verzamelde gegevens naar een command-and-control (C&C) server en installeert AnyDesk voor langdurige toegang.
Wil je dieper in de technische details duiken? Lees dan dit artikel.