Các tác nhân đe dọa có liên hệ với Triều Tiên đứng sau Cuộc phỏng vấn lây nhiễm đã lập ra các công ty bình phong để phân phối phần mềm độc hại trong quá trình tuyển dụng giả mạo.
“Trong chiến dịch mới này, nhóm tác nhân đe dọa đang sử dụng ba công ty bình phong trong ngành tư vấn tiền điện tử—BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.] com) và SoftGlide LLC (softglide[.]co)—để phát tán phần mềm độc hại thông qua ‘mồi nhử phỏng vấn xin việc”, Silent Push cho biết trong một phân tích chuyên sâu.
Hoạt động này, công ty an ninh mạng cho biết, đang được sử dụng để phân phối ba họ phần mềm độc hại đã biết khác nhau, BeaverTail, InvisibleFerret và OtterCookie
Cuộc phỏng vấn lây nhiễm là một trong số nhiều chiến dịch kỹ thuật xã hội theo chủ đề công việc do Triều Tiên dàn dựng để dụ mục tiêu tải xuống phần mềm độc hại đa nền tảng với lý do là nhiệm vụ mã hóa hoặc sửa sự cố với trình duyệt của họ khi bật camera trong quá trình đánh giá video.
Hoạt động này được cộng đồng an ninh mạng rộng lớn theo dõi dưới các biệt danh CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, UNC5342 và Void Dokkaebi.
Việc sử dụng các công ty bình phong để phát tán phần mềm độc hại, bổ sung bằng cách thiết lập các tài khoản gian lận trên Facebook, LinkedIn, Pinterest, X, Medium, GitHub và GitLab, đánh dấu một bước leo thang mới cho các tác nhân đe dọa, những kẻ đã bị phát hiện sử dụng nhiều bảng việc làm khác nhau để dụ dỗ nạn nhân.
“Công ty bình phong BlockNovas có 14 người được cho là làm việc cho họ, tuy nhiên nhiều nhân vật […] có vẻ là giả mạo”, Silent Push cho biết. “Khi xem trang ‘Giới thiệu’ của blocknovas[.]com qua Wayback Machine, nhóm này tuyên bố đã hoạt động trong ’12+ năm’ – dài hơn 11 năm so với thời gian doanh nghiệp được đăng ký”.
