Atakujący wykorzystali backdoora RustDoor, który wcześniej był przypisywany północnokoreańskiej grupie zagrożeń znanej jako Alluring Pisces. Nie jest jednak pewne, czy to narzędzie jest unikalne dla tej grupy, czy też używają go inne północnokoreańskie grupy APT.

W demaskowaniu działań cyberprzestępców kluczowa jest wiktymologia, czyli zestaw cech charakterystycznych ofiar ataków. Prawidłowe zidentyfikowanie profilu ofiary pozwala szybciej dotrzeć do źródła ataków. Wszystkie ofiary były twórcami oprogramowania w branży kryptowalut, co pokazuje, jakie cele obierają obecnie cyberprzestępcy motywowani finansowo i politycznie – zauważył Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Palo Alto Networks w Europie Środkowo-Wschodniej.

Najnowszy atak jest szczególnie niebezpieczny, ponieważ łatwo usypia czujność i wykorzystuje rutynę pracy programistów, aby wprowadzić złośliwe oprogramowanie do ich środowiska pracy. Tym razem cyberprzestępcy zamaskowali swoje działania jako aktualizację VisualStudio – popularnego edytora kodu od Microsoft. Wykorzystanie autorytetu znanej aplikacji pomaga cyberprzestępcom łatwiej skłonić użytkowników do zainstalowania złośliwego oprogramowania pod pozorem aktualizacji.

Specjaliści z Palo Alto Networks zalecają szczególną ostrożność podczas instalowania aktualizacji systemu oraz zewnętrznych aplikacji. Większą czujność powinno wzbudzić niekontrolowane wyciszenie dźwięków w komputerze, ponieważ złośliwe oprogramowanie wykorzystuje AppleScript do wyciszania głośności systemu, aby ukryć kolejne polecenia, które kopiują wiele plików, co może uruchamiać dźwiękowe powiadomienia.

Ostatnie odkrycia analityków ujawniają niepokojącą eskalację operacji cybernetycznych Korei Północnej, które wykraczają poza tradycyjne cele, takie jak system operacyjny Windows. Najnowsza kampania wymierzona w system macOS jest szczególnie niebezpieczna, ponieważ celuje w twórców oprogramowania w branży kryptowalut, zwiększając ryzyko dla instytucji finansowych i firm technologicznych. Organizacje są zachęcane do proaktywnego i wielowarstwowego podejścia w obliczu takich zagrożeń oraz inwestowania w szkolenia z zakresu inżynierii społecznej. To ważne, zwłaszcza w kontekście rozwijających się modeli językowych, które wspierają cyberprzestępców w tworzeniu przekonujących scenariuszy socjotechnicznych – dodał Wojciech Gołębiowski.

Koi Stealer to nieudokumentowany wcześniej wariant złośliwego oprogramowania, prawdopodobnie wykorzystywany przez cyberprzestępców z Korei Północnej do infekowania systemów macOS. Sprawa jest istotna, ponieważ znaczna liczba programistów korzysta z urządzeń Apple, co zwiększa powierzchnię ataków, które dotychczas dotyczyły głównie użytkowników Windows.