Proofpoint ontdekt nieuwe Noord-Koreaanse phishingcampagne gericht op cryptocurrency-developers

Cybersecuritybedrijf Proofpoint heeft een nieuwe, grootschalige phishingcampagne ontdekt die zich richt op softwareontwikkelaars wereldwijd. In zes weken tijd verstuurden de aanvallers meer dan 250 e-mails naar personen bij bijna honderd organisaties, met als doel het stelen van cryptocurrency-assets zoals API-tokens, wallets en inloggegevens. Proofpoint volgt de groep achter deze campagne als UNK_DeadDrop en stelt dat zij hoogstwaarschijnlijk banden heeft met Noord-Korea.

Sinds 2022 spannen met Noord-Korea gelieerde cybercriminelen zich gezamenlijk in om organisaties op het gebied van cryptocurrency en gedecentraliseerde financiering aan te vallen. Ook richten zij zich specifiek op developers door middel van valse recruitersprofielen, kwaadaardige open source-pakketten (TraderTraitor/ Jade Sleet) en met trojans geïnfecteerde apps voor de handel in cryptocurrency (AppleJeus/ Citrine Sleet). De aanvallen doen zich vaak voor als technische beoordelingen of codeeruitdagingen. Ook maken ze gebruik van technieken zoals ClickFix of misbruik van de functies van Visual Studio Code om malware uit te voeren. De benaderingen gebeuren via LinkedIn, Slack, Telegram of via meerdere platforms tegelijk, met als doel toegang te krijgen tot assets van developers, zoals API-tokens, cryptocurrency-wallets en inloggegevens.

Dit zijn de belangrijkste bevindingen van het onderzoek:

De activiteiten van UNK_DeadDrop wijzen naar operaties uit Noord-Korea. Deze richten zich op developers met oog op financieel gewin. Het is duidelijk dat deze steeds verder worden ontwikkeld. De verschuiving van actieve social engineering via sociale media naar grootschalige phishingcampagnes met wervingsmails die links naar kwaadaardige repositories verspreiden, zou erop kunnen wijzen dat een actor zijn operaties op industriële schaal uitbreidt. Het consequent aanmaken van nieuwe GitHub-repositories, evenals een nieuw malwareframework met iteratieve builds en een onopvallende nieuwe uitvoerings- en persistentietechniek via VSIX-extensies, duidt op toegewijde middelen en actieve ontwikkeling van tooling. De aanvallers hebben zich waarschijnlijk ook aangepast door payloads in te bedden in plaats van ze extern te hosten. Hierdoor wordt de operationele veerkracht mogelijk vergroot. Ook worden de gevolgen van het platleggen van infrastructuur vermeden.

UNK_DeadDrop vertoont veel overeenkomsten met de cybercriminele Contagious Interview-activiteit. Het zou een verbeterde en professionelere variant kunnen zijn van eerdere operaties, aangezien aanvallers zich aanpassen aan verdedigers en nieuwe technieken toepassen. De verschillen in TTP’s en infectieketens kunnen echter ook duiden op een andere actor die gebruikmaakt van eerder bekendgemaakte technieken, of op een subgroep die verschillende soorten aanvalsmethoden in één operatie combineert. Hoewel de toeschrijving aan een bekende actor nog niet is bevestigd, blijft Proofpoint deze aanhoudende activiteit volgen als een zelfstandige cluster.

Klik hier voor het volledige onderzoek.