Зловмисники, пов’язані з Північною Кореєю, посилюють свої кібероперації, використовуючи децентралізовані та ухильні інструменти зловмисного програмного забезпечення, згідно з новими висновками Cisco Talos і Google Threat Intelligence Group.
Кампанії спрямовані на крадіжку криптовалюти, проникнення в мережі та ухилення від виявлення за допомогою витончених шахрайств із наймом на роботу.
Еволюція методів зловмисного програмного забезпечення відображає розширення можливостей
Дослідники Cisco Talos виявили поточну кампанію північнокорейського угруповання Famous Chollima. Група використовувала два взаємодоповнюючі штами шкідливого програмного забезпечення: BeaverTail і OtterCookie. Ці програми, які традиційно використовуються для крадіжки облікових даних і викрадення даних, тепер еволюціонували для інтеграції нових функцій і тіснішої взаємодії.
У нещодавньому інциденті за участю організації на Шрі-Ланці зловмисники заманили шукача роботи встановити шкідливий код, замаскований під частину технічної оцінки. Незважаючи на те, що сама організація не була прямою мішенню, аналітики Cisco Talos також помітили модуль кейлогінгу та скріншотів, пов’язаний з OtterCookie, що підкреслює ширший ризик для осіб, причетних до фальшивих пропозицій роботи. Цей модуль приховано записував натискання клавіш і робив знімки з робочого столу, автоматично передаючи їх на віддалений командний сервер.
Це спостереження підкреслює поточну еволюцію груп загроз, пов’язаних з Північною Кореєю, і їхню зосередженість на методах соціальної інженерії для компрометації цілей, які нічого не підозрюють.
Блокчейн використовується як командна інфраструктура
Група розвідки загроз Google (GTIG) виявила операцію пов’язаного з Північною Кореєю суб’єкта UNC5342. Група використовувала нове шкідливе програмне забезпечення під назвою EtherHiding. Цей інструмент приховує шкідливе корисне навантаження JavaScript у загальнодоступному блокчейні, перетворюючи його на децентралізовану мережу командування та управління (C2).
Використовуючи блокчейн, зловмисники можуть віддалено змінювати поведінку шкідливого програмного забезпечення без традиційних серверів. Правоохоронці стають набагато складнішими. Крім того, GTIG повідомила, що UNC5342 застосували EtherHiding у кампанії соціальної інженерії під назвою Contagious Interview, яка була раніше виявлена Palo Alto Networks, демонструючи стійкість зловмисників, пов’язаних з Північною Кореєю.
Націлювання на шукачів роботи з метою крадіжки криптовалюти та даних
За словами дослідників Google, ці кібероперації зазвичай починаються з шахрайських оголошень про вакансії , орієнтованих на професіоналів у галузі криптовалют та кібербезпеки. Жертвам пропонується взяти участь у фальшивих оцінках, під час яких їм пропонують завантажити файли, вбудовані зі шкідливим кодом.
У процесі зараження часто беруть участь кілька сімейств шкідливих програм , включаючи JadeSnow, BeaverTail і InvisibleFerret. Разом вони дозволяють зловмисникам отримувати доступ до систем, викрадати облікові дані та ефективно розгортати програми-вимагачі. Кінцеві цілі варіюються від шпигунства та фінансової крадіжки до довгострокового проникнення в мережу.
Cisco та Google опублікували індикатори компрометації (IOC), щоб допомогти організаціям виявляти поточні кіберзагрози, пов’язані з Північною Кореєю, і реагувати на них. Ці ресурси надають технічні деталі для виявлення зловмисної діяльності та пом’якшення потенційних порушень. Дослідники попереджають, що інтеграція блокчейну та модульного шкідливого програмного забезпечення, ймовірно, продовжить ускладнювати глобальні зусилля щодо захисту кібербезпеки.