Zscaler ThreatLabz waarschuwt voor Noord-Koreaanse remote werkers

Noord-Koreaanse dreigingsactoren gebruiken de campagnes Contagious Interview en WageMole om op afstand werk te vinden in westerse landen. De Contagious Interview-campagne richt zich op het stelen van gegevens, terwijl de WageMole-campagne die gestolen gegevens gebruikt om deze dreigingsactoren te helpen om op afstand werk te vinden. Ze breidden hun arsenaal verder uit door zowel Windows- als macOS-applicatieformaten te ondersteunen in hun infectieketens. Met deze strategie kunnen de dreigingsactoren binnen korte tijd meer dan 100 apparaten op meerdere besturingssystemen infecteren.

De onderstaande afbeelding illustreert de relatie tussen de Contagious Interview- en WageMole-campagnes. De afbeelding benadrukt hoe de activiteiten in de Contagious Interview-campagne persoonlijke gegevens steelt. Deze gegevens worden vervolgens door kwaadwillenden gebruikt om valse identiteiten te creëren en banen veilig te stellen in WageMole-campagnes.

Let op bij sollicitaties voor web-, cryptocurrency- en AI-ontwikkelaars

ThreatLabz heeft recent nieuwe Contagious Interview-campagneaanvallen gezien, waarbij een dreigingsactor een vacature voor een full-stack-ontwikkelaar plaatste op een parttime-wervingsplatform. Als onderdeel van het interviewproces werd sollicitanten gevraagd een codeerprobleem op GitHub op te lossen en hun resultaten in te dienen. De GitHub-repository die wordt beheerd door de aanvaller, bevatte echter schadelijke JavaScript-code. De onderstaande afbeelding toont een nepvacature die is geplaatst als onderdeel van een Contagious Interview-aanval.

Dreigingsactoren nemen agressief contact op met potentiële slachtoffers via sociale mediaplatforms, met een focus op web-, cryptocurrency- en AI-ontwikkelaars. Daarnaast vertrouwen ze op ontwikkelaarsplatforms om schadelijke bestanden te hosten, zoals GitHub, GitLab en BitBucket.

ThreatLabz heeft inmiddels al meer dan 140 slachtoffers geïdentificeerd die binnen een periode van twee maanden gecompromitteerd zijn door de Contagious Interview-campagne. Aanvallers hebben onder meer cryptovaluta-gerelateerde bestanden geëxfiltreerd. Door ontwikkelaars in de cryptovaluta-industrie als doelwit te nemen, verkregen ze ook bestanden met inloggegevens voor kritieke systemen.

Neppersona’s en valse documenten

De WageMole-campagne gebruikt een combinatie van social engineering en technologie om legitieme banen veilig te stellen. De eerste stap bij het solliciteren is het creëren van neppersona’s op basis van de gestolen gegevens uit de Contagious Interview-campagne. WageMole-dreigingsactoren hebben valse paspoorten of andere vormen van identificatie, hetzij via de Contagious Interview-campagne of door ze te kopen van echte personen. Daarnaast gebruiken ze AI-tools om de foto van een persoon te wijzigen. Denk aan het toevoegen van een glimlach, het verwijderen van de achtergrond en het westers laten lijken van de dreigingsactor. WageMole-dreigingsactoren verzamelen verder openbaar beschikbare certificaat- of diploma-afbeeldingen van het internet om deze te gebruiken in het sollicitatieproces, vaak van particuliere onderwijssites.

Ze geven de voorkeur aan LinkedIn om vacatures te vinden. Zo maken dreigingsactoren nep-LinkedIn-profielen aan, waarbij ze zichzelf vaak voordoen als full-stack-ontwikkelaar of AI-engineer uit landen zoals Italië, Duitsland, Nederland, Estland, Zwitserland en Litouwen. We ontdekten verschillende LinkedIn-profielen die in deze campagne zijn gebruikt, waaronder dit Duitse en Amerikaanse profiel.

Omzeilen van economische sancties

De Contagious Interview- en Wagemole-campagnes laten de evoluerende tactieken van Noord-Koreaanse dreigingsactoren zien, die nog steeds doorgaan met het stelen van gegevens, het vinden van banen in westerse landen en het omzeilen van financiële sancties. Met verfijnde verduisteringstecknieken, compatibiliteit met meerdere platforms en wijdverbreide gegevensdiefstal vormen deze campagnes een groeiende bedreiging voor zowel bedrijven als individuen. Deze bevindingen van het Zscaler ThreatLabz-team benadrukken het belang van het beperken van deze dreigingen met robuuste beveiligingsmaatregelen, het volgen van best practices en het op de hoogte blijven van de laatste dreigingsinformatie.

Best practices

De volgende best practices worden aangeraden om te beschermen tegen Contagious Interview:

• Sla nooit gevoelige informatie, zoals inloggegevens of cryptovalutasleutels, op in platte tekst.
• Sla persoonlijke informatie, zoals paspoorten, identiteitskaarten en andere gevoelige gegevens, niet op een onveilige manier op.
• Wees voorzichtig wanneer je wordt gecontacteerd door onbekende personen.
• Open verdachte bestanden altijd in een virtuele omgeving.

Best practices tegen WageMole zijn:

• Beoordeel en controleer alle contacten van e-mail- en social media-accounts.
• Controleer de werkgeschiedenis door de functie en het dienstverband van de kandidaat rechtstreeks te verifiëren bij het bedrijf dat op zijn of haar cv staat.
• Zorg ervoor dat nieuwe werknemers beperkte toegang hebben tot gevoelige informatie en systemen totdat ze de proefperiode succesvol hebben afgerond.
• Voer een gedetailleerde achtergrondcontrole uit, inclusief een beoordeling van de opleiding, werkgeschiedenis en alle relevante professionele certificeringen.
• Controleer de werkgeschiedenislocaties van de sollicitant om ervoor te zorgen dat deze geloofwaardig en consistent zijn.
• Controleer en verifieer alle versterkte identificatiedocumenten zorgvuldig om de authenticiteit ervan te garanderen en identiteitsfraude te voorkomen.

Lees hier de volledige technische analyse van de Contagious Interview- en WageMole-campagnes.