与“传染性采访”行动相关联的朝鲜黑客组织被认定使用了一款此前未被记录的后门程序AkdoorTea,以及TsunamiKit和Tropidoor等工具。
斯洛伐克网络安全公司ESET正在追踪这一被命名为“DeceptiveDevelopment”的活动,该公司表示,此活动针对所有操作系统(Windows、Linux和macOS)上的软件开发人员,尤其是那些参与加密货币和Web3项目的开发者。该活动也被称为DEV#POPPER、“著名千里马”、“鬼帮”、“顽强的丰山犬”、UNC5342和“虚空 Dokkaebi”。
“DeceptiveDevelopment的工具集大多是跨平台的,包含Python和JavaScript编写的初始混淆恶意脚本、Python和Go编写的基本后门,以及一个基于.NET的暗网项目,”ESET研究人员彼得·卡尔奈和马特伊·哈夫拉内克在一份与《黑客新闻》分享的报告中表示。
该活动本质上是假冒的招聘人员在LinkedIn、Upwork、Freelancer和Crypto Jobs List等平台上提供看似高薪的工作岗位。在初步接触后,如果潜在目标对该机会表现出兴趣,他们会被要求通过点击链接完成视频评估,或者完成一项编程任务。
这项编程作业要求他们克隆托管在GitHub上的项目,而这些项目会悄悄安装恶意软件。另一方面,那些专门为所谓的视频评估而设立的网站会显示与摄像头或麦克风访问被阻止相关的虚假错误,并催促他们按照“点击修复”式的指示来解决问题——具体是打开命令提示符还是终端应用,取决于所使用的操作系统。
无论采用何种方法,这些攻击通常都会植入多种恶意软件,例如BeaverTail、InvisibleFerret、OtterCookie、GolangGhost(又名FlexibleFerret或WeaselStore)以及PylangGhost。
“黄鼠狼商店(WeaselStore)的功能与海狸尾巴(BeaverTail)和隐形雪貂(InvisibleFerret)都颇为相似,其主要功能是从浏览器和加密货币钱包中窃取敏感数据,” eset表示。“一旦数据被窃取,与传统的信息窃取工具不同,黄鼠狼商店会继续与其命令与控制(C&C)服务器通信,充当能够执行各种命令的远程访问工具(RAT)。”
作为这些感染序列的一部分部署的还有海啸工具包(TsunamiKit)和热带门(Tropidoor),其中前者是由“隐形雪貂(InvisibleFerret)”投放的恶意软件工具包,旨在窃取信息和加密货币。“海啸工具包(TsunamiKit)”的使用最早于2024年11月被发现。
该工具包包含多个组件,起点是初始阶段的TsunamiLoader,它会触发注入器(TsunamiInjector)的执行,而注入器又会释放TsunamiInstaller和TsunamiHardener。
虽然TsunamiInstaller充当TsunamiClientInstaller的投放器(TsunamiClientInstaller随后会下载并执行TsunamiClient),但TsunamiHardener负责为TsunamiClient建立持久化机制,以及配置Microsoft Defender的排除项。TsunamiClient是核心模块,它整合了一个.NET间谍软件,并会投放XMRig和NBMiner等加密货币挖矿程序。
据信,TsunamiKit很可能是对某个暗网项目的修改,而非该威胁行为者的原创,因为与该工具包相关的样本早在2021年12月就已被发现,这早于“Contagious Interview”活动的开始时间——据信该活动始于2022年末的某个时候。
经发现,BeaverTail窃取器和下载器还充当了另一种名为Tropidoor的恶意软件的传播工具。据ASEC称,该恶意软件与 Lazarus 组织的一款名为LightlessCan的工具存在重合之处。ESET表示,其发现了Tropidoor恶意软件样本被上传至VirusTotal的证据,上传来源包括肯尼亚、哥伦比亚和加拿大。该公司还补充道,这款恶意软件与PostNapTea共享“大量代码”,后者是2022年威胁行为者针对韩国目标所使用的一款恶意软件。
PostNapTea支持用于配置更新、文件操作、屏幕捕获、文件系统管理、进程管理的命令,还支持运行自定义版本的Windows命令(如whoami、netstat、tracert、lookup、ipconfig和systeminfo等),以增强隐蔽性——这也是LightlessCan具备的一项功能。
ESET表示:“Tropidoor是迄今为止与DeceptiveDevelopment组织相关联的最复杂的有效载荷,这可能是因为它基于 Lazarus 旗下技术更先进的威胁行为者开发的恶意软件。”
该威胁行为者武器库中的最新成员是一款名为AkdoorTea的远程访问木马,它通过一个Windows批处理脚本进行传播。该脚本会下载一个ZIP文件(“nvidiaRelease.zip”)并执行其中的Visual Basic脚本,随后启动同样包含在该压缩包中的BeaverTail和AkdoorTea有效载荷。
值得指出的是,该活动过去曾利用NVIDIA主题的驱动程序更新作为“点击修复”攻击的一部分,在提供视频评估时“解决所谓的摄像头或麦克风问题”,这表明这种方法正被用于传播AkdoorTea。
AkdoorTea的得名是因为它与 Akdoor 有共同之处,而 Akdoor 被描述为 NukeSped(又名 Manuscrypt )植入程序的一个变体——这进一步强化了“传染性访谈”与更广泛的 Lazarus组织网络之间的联系。
“DeceptiveDevelopment的战术、技术和程序(TTPs)体现出一种更具分布式、以数量为导向的运作模式。尽管该组织往往缺乏技术成熟度,但它通过规模和创造性的社会工程学手段加以弥补,”ESET表示。
“其行动展示出一种务实的策略,包括利用开源工具、复用现有的暗网项目、改造可能从其他与朝鲜结盟的组织租用的恶意软件,以及通过虚假招聘和面试平台来利用人性弱点。”
“传染性面试”并非孤立运作,人们发现它与平壤的欺诈性IT工作者计划(又名WageMole)存在一定程度的重叠。Zscaler指出,朝鲜攻击者利用从前者获取的情报,通过盗用身份和伪造虚假身份在这些公司谋得职位。据悉,这种IT工作者威胁自2017年以来就一直存在。
网络安全公司Trellix在本周发布的一份报告中表示,其发现了一起朝鲜IT工作者针对美国一家医疗保健公司的就业欺诈案件,一名使用“凯尔·兰克福德”名字的人申请了首席软件工程师一职。
虽然这位求职者在招聘过程的早期阶段没有出现任何警示信号,但Trellix表示,其能够将他们的电子邮件地址与已知的朝鲜IT工作者指标关联起来。该公司补充称,通过对邮件往来的进一步分析和背景调查,确认这名候选人很可能是朝鲜特工。
“朝鲜IT工作者的活动构成了一种混合威胁,”ESET指出。“这种‘为雇佣而欺诈’的计划将身份盗窃和合成身份欺诈等典型犯罪活动与数字工具相结合,这使其既被归为传统犯罪,也被归为网络犯罪(或电子犯罪)。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
