Кампания Willo: новая угроза от Северной Кореи
Источник: s2w.inc
Центр анализа угроз S2W опубликовал подробный отчет о кампании Willo, связанной с APT-группой TraderTraitor, которую поддерживает Северная Корея. В центре внимания данного анализа находится вредоносная программа GopherGrabber, которая отличается сложным дизайном и представляет серьезную угрозу в сфере кибербезопасности.
Проникновение и особенности GopherGrabber
GopherGrabber, сначала распространившаяся через официальный репозиторий NPM в июне 2024 года, была внедрена через вредоносный пакет cors-parser. Этот пакет содержал скрипт index.js, который выполнял вредоносные действия.
К июлю 2024 года угроза усилилась: устанавливаемая программа, маскировавшаяся под сервис «Versus X», в конечном итоге также доставила GopherGrabber. Вредоносное ПО написано на языке программирования Go и обладает мультиплатформенной функциональностью. Оно включает в себя:
- Бэкдор
- Компонент-перехватчик
Эти компоненты взаимодействуют с сервером управления (C2) через HTTP/S запросы, используя хеширование MD5 и шифрование RC4 для передачи данных.
Текущая активность и целевая аудитория
С декабря 2024 года кампания Willo активизировалась, особенно в области криптовалютных компаний. Злоумышленники заманивают жертв предложениями о работе, используя платформы, такие как LinkedIn. Эти предложения ведут к фишинговым страницам, которые имитируют видеоинтервью, с целью заставить пользователей запустить вредоносный установщик или выполнить вредоносные команды.
В ходе мониторинга команда S2W обнаружила вредоносный установщик VersusxSetup.exe, который инициировал загрузку Go на зараженных устройствах и увеличивал функциональность GopherGrabber, исполнив встроенный исходный код Go.
Финансовые последствия и связь с другими группами
Данная кампания привела к значительным финансовым потерям: согласно сообщениям, хищения криптовалюты составили около 64 020 долларов. Это подчеркивает реальные последствия деятельности злоумышленников и необходимость срочной борьбы с ними.
Хотя методы работы кампании Willo соответствуют традиционным тактикам северокорейских APT, наблюдаются также признаки связи с китайской APT-угрозой UNC5221, что подтверждается совпадающими SSL-сертификатами в их инфраструктурах. Тем не менее, основные операции в большей степени коррелируют с типичными схемами кибератак Северной Кореи.
Заключение
На данный момент GopherGrabber продолжает находиться под пристальным контролем групп по анализу угроз благодаря изменяющимся методологиям и тактикам в рамках продолжающейся кампании против кибератак. Необходим внимательный мониторинг и промежуточные меры для предотвращения дальнейших потерь.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
