有证据表明,与朝鲜民主主义人民共和国(又称朝鲜)有关联的威胁行为者一直在利用ClickFix风格的诱饵,分发一种名为BeaverTail和InvisibleFerret的已知恶意软件。
GitLab威胁情报研究员奥利弗·史密斯在上周发布的一份报告中表示:“该威胁行为者使用ClickFix诱饵针对加密货币和零售行业组织中的营销和交易角色,而非软件开发角色。”
BeaverTail和InvisibleFerret于2023年末由帕洛阿尔托网络公司首次披露,朝鲜特工将其作为名为“传染性访谈”(又名“幽灵帮”)的长期活动的一部分进行部署,在该活动中,恶意软件以职业评估为借口分发给软件开发人员。经评估,该团伙是“ Lazarus” umbrella组织的一个分支,至少自2022年12月以来一直处于活跃状态。
多年来,BeaverTail还通过伪造的npm包以及FCCCall和FreeConference等欺诈性Windows视频会议应用进行传播。这款恶意软件由JavaScript编写,既是信息窃取工具,也是一个下载器,用于下载名为InvisibleFerret的基于Python的后门程序。
该活动的一个重要演变是利用ClickFix社会工程策略来传播恶意软件,例如GolangGhost、PylangGhost和FlexibleFerret——这是被追踪为ClickFake Interview的一个子集群活动。
2025年5月下旬观察到的最新一波攻击值得关注,原因有二:一是利用ClickFix传播BeaverTail(而非GolangGhost或FlexibleFerret);二是以编译后的二进制文件形式传播该窃取程序,这些文件是使用pkg和PyInstaller等工具为Windows、macOS和Linux系统生成的。
一个利用Vercel创建的虚假招聘平台网络应用程序成了恶意软件的传播载体,威胁行为者在该平台上发布多家Web3组织的加密货币交易员、销售和营销岗位招聘信息,并怂恿目标对象投资一家Web3公司。
史密斯表示:“考虑到BeaverTail分销商通常专注于软件开发人员和加密货币领域,而该威胁行为者将目标对准营销岗位申请者,并冒充零售行业组织,这一点值得关注。”
访问该网站的用户的公共IP地址会被捕获,并被要求完成一段关于自己的视频评估。此时,系统会显示一个关于不存在的麦克风问题的虚假技术错误,并要求用户输入一个特定于操作系统的命令,据称是为了解决该问题,这实际上会通过外壳脚本或Visual Basic脚本部署一个精简版的BeaverTail。
GitLab表示:“与该活动相关的BeaverTail变种包含一个简化的信息窃取程序,且针对的浏览器扩展更少。该变种仅针对8个浏览器扩展,而其他同期的BeaverTail变种则针对22个。”
另一个重要的疏漏是移除了与从谷歌浏览器以外的网页浏览器窃取数据相关的功能。研究还发现,BeaverTail的Windows版本依赖于随恶意软件一同分发的受密码保护的压缩包来加载与InvisibleFerret相关的Python依赖项。
虽然受密码保护的压缩包是各种威胁行为者长期以来采用的一种相当常见的技术,但这是该方法首次被用于与BeaverTail相关的有效载荷交付,这表明威胁行为者正在积极改进他们的攻击链。
此外,野外环境中次生人工制品的低发生率以及缺乏社会工程技巧表明,这场活动可能只是一次有限的测试,不太可能大规模开展。
GitLab表示:“该活动表明,朝鲜BeaverTail组织的一个子群体在战术上略有转变,他们不再局限于传统的针对软件开发人员的攻击,而是将目标扩大到加密货币和零售行业的营销及交易角色。转向编译型恶意软件变体并持续依赖ClickFix技术,表明他们在不断调整操作方式,以攻击那些技术水平较低、且未安装标准软件开发工具的目标和系统。”
这一进展源于SentinelOne、SentinelLabs和Validin的联合调查,该调查发现,在2025年1月至3月期间,至少有230人成为了“传染性面试”活动的目标,该活动通过冒充Archblock、Robinhood和eToro等公司,实施虚假加密货币工作面试攻击。
该活动主要包括利用ClickFix主题分发名为ContagiousDrop的恶意Node.js应用程序,这些应用程序旨在部署伪装成更新或必要工具的恶意软件。有效载荷会根据受害者的操作系统和系统架构进行定制。它还能够记录受害者的活动,并在受影响的人启动虚假技能评估时触发电子邮件警报。
“这项活动[……]涉及威胁行为者查看与其基础设施相关的网络威胁情报(CTI)信息,”这些公司指出,并补充称,攻击者协同行动,在获取新基础设施前对其进行评估,同时通过Validin、VirusTotal和Maltrail监测其活动被发现的迹象。
通过此类努力收集到的信息旨在提高其活动的韧性和有效性,并在服务提供商采取移除措施后迅速部署新的基础设施,这反映出他们侧重于投入资源维持运营,而非通过大规模变革来保护现有基础设施。
研究人员表示:“鉴于他们的活动在吸引目标方面持续取得成功,威胁行为者部署新的基础设施可能比维护现有资产更务实、更高效。潜在的内部因素,如分散的指挥结构或运营资源限制,可能会制约他们快速实施协调变革的能力。”
他们的运营策略似乎优先考虑迅速更换因服务提供商的下架行动而丢失的基础设施,并利用新配置的基础设施来维持其活动。
朝鲜黑客长期以来一直试图收集威胁情报以推进其行动。早在2021年,谷歌和微软就披露,平壤支持的黑客将目标对准了从事漏洞研发的安全研究人员,他们利用虚假博客和社交媒体账户网络来窃取漏洞利用程序。
去年,SentinelOne曾警告称,ScarCruft(又名APT37)发起了一场攻击活动,其针对威胁情报报告的用户,以虚假的技术报告作为诱饵,投放RokRAT——这是朝鲜威胁组织专门使用的一款定制后门程序。
然而,最近的ScarCruft攻击活动出现了一些变化,采取了不同寻常的步骤,用定制的VCD勒索软件感染目标,同时其工具包也在不断升级,包括窃密程序和后门程序CHILLYCHINO(又名Rustonotto)以及FadeStealer。CHILLYCHINO是一种基于Rust的植入程序,于2025年6月成为该威胁行为者武器库中的新成员。这也是已知的APT37首次使用基于Rust的恶意软件针对Windows系统。
另一方面,FadeStealer是一款监控工具,于2023年首次被发现,它能够记录键盘输入、捕获屏幕截图和音频、跟踪设备及可移动媒体,并通过受密码保护的RAR压缩包窃取数据。它利用HTTP POST和Base64编码与命令控制(C2)服务器进行通信。
根据Zscaler ThreatLabz的说法,该攻击链包括利用鱼叉式钓鱼邮件分发ZIP压缩包,这些压缩包包含Windows快捷方式(LNK)或帮助文件(CHM),它们会释放CHILLYCHINO或其已知的PowerShell对应程序Chinotto,随后这些程序会联系命令与控制(C2)服务器,以获取负责启动FadeStealer的下一阶段有效载荷。
S2W表示:“勒索软件的发现标志着从纯粹的间谍活动向以经济利益为动机、且可能具有破坏性的活动发生了重大转变。这种演变不仅凸显了功能的多样化,也反映出该组织目标的更广泛战略调整。”
新发现的Kimsuky攻击活动
与此同时,这些发现公布之际,与朝鲜结盟的Kimsuky(又名APT43)黑客组织已被认定与两项不同的活动有关,其中一项涉及滥用GitHub仓库来分发窃取型恶意软件和进行数据窃取。据称,该组织遭遇了一次数据泄露,这可能暴露了一个为这个“隐士王国”工作的中国黑客的战术和工具(也可能是模仿其攻击手法的中国操作者的战术和工具)。
S2W表示:“威胁行为者利用一个恶意的LNK文件(存在于ZIP压缩包中)从GitHub仓库下载并执行更多基于PowerShell的脚本。为了访问该仓库,攻击者在脚本中直接嵌入了一个硬编码的GitHub私人令牌。”
从代码仓库获取的PowerShell脚本具备收集系统元数据的功能,包括最后启动时间、系统配置和运行进程;能将这些信息写入日志文件,并上传至攻击者控制的代码仓库。它还会下载一个诱饵文档,以避免引起任何怀疑。
鉴于存在将可信基础设施用于恶意目的的情况,建议用户监控前往api.github.com的流量以及可疑计划任务的创建,这些都可能表明存在持久化行为。
与Kimsuky相关的第二项活动涉及滥用OpenAI的ChatGPT伪造深度伪造的军事身份证,以针对韩国国防相关实体以及其他关注朝鲜事务的个人(如研究人员、人权活动家和记者)开展鱼叉式钓鱼活动。
2025年7月17日,在6月12日至18日期间进行了一系列基于ClickFix的网络钓鱼活动后,观察到使用军事身份深度伪造诱饵的网络钓鱼电子邮件,为便利数据盗窃和远程控制的恶意软件铺平了道路。
韩国网络安全公司Genians在上周发布的一份报告中表示,这种多阶段感染链被发现会利用类似ClickFix的验证码验证页面来部署一个AutoIt脚本,该脚本会连接到外部服务器,运行攻击者发出的批处理文件命令。
此外,近期爆发的一系列攻击还依赖虚假电子邮件,将毫无防备的用户重定向到凭据收集页面,同时发送带有陷阱链接的邮件。用户点击这些链接后,会下载一个包含LNK文件的ZIP压缩包,该LNK文件进而执行PowerShell命令,下载使用ChatGPT生成的合成图像以及批处理脚本,而该批处理脚本最终会运行 cabinet 压缩文件中的同一个AutoIt脚本。
Genians表示:“这被归类为一起APT攻击,攻击者伪装成韩国国防相关机构,假意处理军方附属官员的身份证件发放工作。这是一个真实案例,展示了Kimsuky组织对深度伪造技术的应用。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
