По словам исследователей из Cisco Talos и Google Threat Intelligence Group, северокорейские хакеры, обманом заставляющие соискателей устанавливать вредоносный код на свои устройства, используют новые виды вредоносного ПО и методы, что приводит к краже учетных данных или криптовалюты, а также к развертыванию программ-вымогателей.
Компания Cisco Talos сообщила об обнаружении атаки, связанной с Famous Chollima, которая включала использование BeaverTail и OtterCookie — отдельных, но взаимодополняющих вредоносных программ, часто используемых группировкой, связанной с Северной Кореей. Исследователи заявили, что их анализ позволил определить степень слияния BeaverTail и OtterCookie и продемонстрировал новые функциональные возможности в недавних кампаниях.
GTIG сообщила, что UNC5342 использовал EtherHiding — вредоносный код в виде JavaScript-полезной нагрузки, который превращает публичный блокчейн в децентрализованный сервер управления и контроля. Исследователи заявили, что UNC5342 включил EtherHiding в кампанию социальной инженерии, проводимую Северной Кореей, ранее получившую название «Заразительное интервью» от Palo Alto Networks.
Cisco и Google заявили, что использование северокорейскими группировками более специализированного и трудноуловимого вредоносного ПО подчеркивает усилия, которые государственные злоумышленники предпринимают для достижения множественных целей, избегая при этом более распространенных форм обнаружения.
Установив EtherHiding на блокчейне, UNC5342 может удаленно обновлять функционал вредоносного ПО и осуществлять непрерывный контроль над его операциями, не беспокоясь об отключении или сбоях инфраструктуры.
«Такое развитие событий свидетельствует об эскалации угроз, поскольку злоумышленники на уровне государств теперь используют новые методы распространения вредоносного ПО, устойчивые к блокировке правоохранительными органами и легко адаптируемые для новых кампаний», — сообщил в электронном письме Роберт Уоллес, ведущий консалтинговый директор Mandiant, компании Google по реагированию на инциденты.
Исследователи Google описали кампанию социальной инженерии Северной Кореи как изощренную и продолжающуюся попытку совершения шпионажа, получения постоянного доступа к корпоративным сетям и кражи конфиденциальных данных или криптовалюты во время подачи заявлений на работу и собеседований.
По данным Google, основные атаки часто происходят во время фальшивой технической оценки, когда кандидатов на работу просят загрузить файлы, которые без их ведома содержат вредоносный код. Исследователи наблюдали многоэтапный процесс заражения вредоносным ПО, включающим JadeSnow, BeaverTail и InvisibleFerret.
Исследователи Cisco Talos обнаружили атаку Famous Chollima на неназванную организацию в Шри-Ланке. Вероятно, её совершил пользователь, попавший на фейковое предложение о работе. Согласно отчёту, сама организация не была целью злоумышленников.
Исследователи обнаружили ранее недокументированный модуль кейлоггерства и создания скриншотов в кампании, которую они проследили до образцов OtterCookie. Вредоносное ПО для кражи информации содержало модуль, который отслеживает нажатия клавиш и периодически делает скриншоты рабочего стола, которые автоматически загружаются на сервер управления OtterCookie, сообщает Cisco Talos.
Cisco и Google поделились индикаторами компрометации в своих отчетах, чтобы помочь охотникам за угрозами найти дополнительные артефакты вредоносной деятельности северокорейских группировок.
Компания Cisco Talos сообщила об обнаружении атаки, связанной с Famous Chollima, которая включала использование BeaverTail и OtterCookie — отдельных, но взаимодополняющих вредоносных программ, часто используемых группировкой, связанной с Северной Кореей. Исследователи заявили, что их анализ позволил определить степень слияния BeaverTail и OtterCookie и продемонстрировал новые функциональные возможности в недавних кампаниях.
GTIG сообщила, что UNC5342 использовал EtherHiding — вредоносный код в виде JavaScript-полезной нагрузки, который превращает публичный блокчейн в децентрализованный сервер управления и контроля. Исследователи заявили, что UNC5342 включил EtherHiding в кампанию социальной инженерии, проводимую Северной Кореей, ранее получившую название «Заразительное интервью» от Palo Alto Networks.
Cisco и Google заявили, что использование северокорейскими группировками более специализированного и трудноуловимого вредоносного ПО подчеркивает усилия, которые государственные злоумышленники предпринимают для достижения множественных целей, избегая при этом более распространенных форм обнаружения.
Установив EtherHiding на блокчейне, UNC5342 может удаленно обновлять функционал вредоносного ПО и осуществлять непрерывный контроль над его операциями, не беспокоясь об отключении или сбоях инфраструктуры.
«Такое развитие событий свидетельствует об эскалации угроз, поскольку злоумышленники на уровне государств теперь используют новые методы распространения вредоносного ПО, устойчивые к блокировке правоохранительными органами и легко адаптируемые для новых кампаний», — сообщил в электронном письме Роберт Уоллес, ведущий консалтинговый директор Mandiant, компании Google по реагированию на инциденты.
Исследователи Google описали кампанию социальной инженерии Северной Кореи как изощренную и продолжающуюся попытку совершения шпионажа, получения постоянного доступа к корпоративным сетям и кражи конфиденциальных данных или криптовалюты во время подачи заявлений на работу и собеседований.
По данным Google, основные атаки часто происходят во время фальшивой технической оценки, когда кандидатов на работу просят загрузить файлы, которые без их ведома содержат вредоносный код. Исследователи наблюдали многоэтапный процесс заражения вредоносным ПО, включающим JadeSnow, BeaverTail и InvisibleFerret.
Исследователи Cisco Talos обнаружили атаку Famous Chollima на неназванную организацию в Шри-Ланке. Вероятно, её совершил пользователь, попавший на фейковое предложение о работе. Согласно отчёту, сама организация не была целью злоумышленников.
Исследователи обнаружили ранее недокументированный модуль кейлоггерства и создания скриншотов в кампании, которую они проследили до образцов OtterCookie. Вредоносное ПО для кражи информации содержало модуль, который отслеживает нажатия клавиш и периодически делает скриншоты рабочего стола, которые автоматически загружаются на сервер управления OtterCookie, сообщает Cisco Talos.
Cisco и Google поделились индикаторами компрометации в своих отчетах, чтобы помочь охотникам за угрозами найти дополнительные артефакты вредоносной деятельности северокорейских группировок.
