Severokorejští hackeři využívají nový backdoor AkdoorTea k útokům na vývojáře kryptoměn

Kyberbezpečnostní experti ze společnosti ESET odhalili novou vlnu útoků severokorejské hackerské skupiny známé jako DeceptiveDevelopment, dříve označované také jako Contagious Interview. Útočníci využívají dosud nezaznamenaný backdoor AkdoorTea a další nástroje, jako jsou TsunamiKit a Tropidoor, k útokům na softwarové vývojáře po celém světě. Cílem jsou zejména ti, kteří pracují na projektech spojených s kryptoměnami a Web3, a to napříč platformami Windows, Linux i macOS.

Kampaň probíhá převážně prostřednictvím falešných pracovních nabídek na platformách jako LinkedIn, Upwork nebo Freelancer. Útočníci se vydávají za personalisty a lákají vývojáře na testovací úkoly nebo „video pohovory“. Po kliknutí na podvodné odkazy nebo spuštění infikovaných projektů se do systému oběti dostává škodlivý kód, který instaluje backdoory a nástroje pro krádež dat.

Nový trojan AkdoorTea je doručován pomocí dávkového skriptu, který stáhne archiv „nvidiaRelease.zip“ a spustí v něm skryté payloady. Tento postup navazuje na dřívější útoky, které zneužívaly motivy falešných aktualizací ovladačů NVIDIA k infikování systémů. Analýza ESETu potvrzuje, že AkdoorTea vychází z dříve používaného malwaru Akdoor a sdílí znaky s implantátem NukeSped, známým z operací skupiny Lazarus.

Do arzenálu útočníků patří také toolkit TsunamiKit, jehož hlavní modul TsunamiClient funguje jako spyware a kryptominer, a dále Tropidoor – sofistikovaný backdoor, který sdílí kód s malwarem LightlessCan používaným Lazarus Group. Tyto nástroje dokážou nejen exfiltrovat citlivá data z peněženek kryptoměn, ale také dlouhodobě udržovat přístup k infikovaným systémům.

ESET upozorňuje, že aktivity DeceptiveDevelopment ukazují na pragmatický a objemově zaměřený model operací, kdy útočníci kombinují otevřené nástroje, znovu využívají projekty z temného webu a spoléhají na sofistikované sociální inženýrství. Kampaň se navíc překrývá s operací WageMole, která zahrnuje falešné severokorejské IT pracovníky usilující o skutečné zaměstnání v západních firmách pomocí kradených identit.

„Tyto aktivity představují hybridní hrozbu, která propojuje klasický kyberzločin se špionáží a podvodem na trhu práce,“ uvedli experti z ESETu. Upozorňují, že podobné kampaně budou pravděpodobně pokračovat, protože kombinují efektivní náborové triky s technicky vyspělými nástroji známých severokorejských skupin, jako je Lazarus.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS