Согласно новым данным Cisco Talos и Google Threat Intelligence Group, субъекты угроз, связанные с Северной Кореей, расширяют свои кибероперации, используя децентрализованные и уклончивые инструменты вредоносного ПО.

Кампании направлены на кражу криптовалюты, проникновение в сети и уклонение от обнаружения с помощью изощренных афер с наймом на работу.

Развитие методов вредоносного ПО отражает расширение возможностей

Исследователи Cisco Talos выявили продолжающуюся кампанию северокорейской группы Famous Chollima. Группа использовала два взаимодополняющих штамма вредоносного ПО: BeaverTail и OtterCookie. Эти программы, традиционно используемые для кражи учетных данных и кражи данных, теперь эволюционировали и теперь интегрируют новые функциональные возможности и обеспечивают более тесное взаимодействие.

.divm, .divd {display: none;} @media screen and (max-width: 768px) {.divm {display:block;}}@media screen and (min-width: 769px) { .divd {display:block;}}

Спонсор

В ходе недавнего инцидента с организацией в Шри-Ланке злоумышленники вынудили соискателя работы установить вредоносный код, замаскированный под техническую оценку. Несмотря на то, что сама организация не была прямой целью, аналитики Cisco Talos также заметили модуль кейлогинга и создания снимков экрана, связанный с OtterCookie, что подчеркивает более широкий риск для лиц, участвующих в поддельных предложениях о работе. Этот модуль скрытно записывал нажатия клавиш и захватывал изображения рабочего стола, автоматически передавая их на удаленный командный сервер.

Это наблюдение подчеркивает продолжающуюся эволюцию группировок угроз, связанных с Северной Кореей, и их внимание к методам социальной инженерии для компрометации ничего не подозревающих целей.

Блокчейн используется в качестве командной инфраструктуры

Группа анализа угроз Google (GTIG) выявила операцию UNC5342, связанную с Северной Кореей. Группа использовала новое вредоносное ПО под названием EtherHiding. Этот инструмент скрывает вредоносные полезные данные JavaScript в общедоступной цепочке блоков, превращая ее в децентрализованную сеть управления и контроля (C2).

Используя блокчейн, злоумышленники могут удаленно изменять поведение вредоносного ПО, не используя традиционные серверы. Аресты правоохранительных органов становятся намного сложнее. Кроме того, GTIG сообщил, что UNC5342 применил EtherHiding в кампании социальной инженерии под названием Contagious Interview, которая ранее была обнаружена Palo Alto Networks, демонстрируя настойчивость действующих лиц, связанных с Северной Кореей.

Нацеливание соискателей на кражу криптовалюты и данных

По мнению исследователей Google, эти кибероперации обычно начинаются с мошеннических объявлений о вакансиях, предназначенных для профессионалов в сфере криптовалют и кибербезопасности. Жертвам предлагается принять участие в фейковом оценивании, в ходе которого им предлагается загрузить файлы, содержащие вредоносный код.

В процессе заражения часто участвуют несколько семейств вредоносных программ, включая JadeSnow, BeaverTail и InvisibleFerret. Вместе они позволяют злоумышленникам получать доступ к системам, красть учетные данные и эффективно развертывать программы-вымогатели. Конечные цели варьируются от шпионажа и финансового воровства до долгосрочного проникновения в сеть.

Cisco и Google опубликовали индикаторы компрометации (IOC), чтобы помочь организациям обнаруживать и реагировать на текущие киберугрозы, связанные с Северной Кореей. Эти ресурсы предоставляют техническую информацию для выявления вредоносной деятельности и устранения потенциальных нарушений. Исследователи предупреждают, что интеграция блокчейна и модульного вредоносного ПО, вероятно, продолжит усложнять глобальные усилия по защите кибербезопасности.