СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.04.2025
#Dev#ИБ#Инфра

Северокорейская кибератака: вредоносное ПО под маской сотрудничества

Северокорейская кибератака: вредоносное ПО под маской сотрудничества

Источник: asec.ahnlab.com

29 ноября 2024 года было зарегистрировано новое нападение хакеров, которые подделали электронное письмо от сообщества разработчиков Dev.to с целью распространения вредоносного ПО. Злоумышленники использовали ссылку на BitBucket, ведущую к проекту, содержащему вредоносные файлы, замаскированные под конфигурации и загрузчики.

Содержимое атакующего сообщения

Хакеры разместили ссылку на проект, содержащий:

  • BeaverTail — маскирующийся под файл конфигурации tailwind.config.js
  • Загрузчик — идентифицирован как car.dll

Хотя исходная ссылка была незамедлительно удалена, образцы этих файлов были обнаружены на VirusTotal, что подтвердило их вредоносные характеристики.

Анализ вредоносных компонентов

BeaverTail связан с кибератаками, инициируемыми Северной Кореей, и специализируется на краже информации, а также распространении дополнительных вредоносных программ. Загрузчик car.dll выполняет команды Windows и имеет поведенческие схожества с LightlessCan, используемым Lazarus group.

Анализ показал, что:

  • Файл car.dll выполняется из пути установки с ключевым словом «autopart».
  • С использованием Curl, он загружает файлы под именами, соответствующими известному поведению BeaverTail.

Функциональные возможности BeaverTail

Вредоносная программа tailwind.config.js сочетает тактику обфускации и подпрограммы для выполнения car.dll. BeaverTail выполняет несколько функций, включая:

  • Кражу учётных данных пользователей из веб-браузеров.
  • Сбор информации о криптовалютных кошельках.
  • Загрузку дополнительных вредоносных ПО, таких как InvisibleFerret.

После выполнения BeaverTail инициирует связь с четырьмя серверами управления (C&C), собирает системную информацию и шифрует её, генерируя случайный ключ. Первоначальная коммуникация включает передачу данных системы и зашифрованного ключа, кодированного в Base64.

Команды и атака Windows

Интересно, что команда #34 позволяет выполнять команды Windows, такие как:

  • schtasks
  • ping
  • reg

Это позволяет злоумышленникам использовать методы распараллеливания, ранее связанные с LightlessCan.

Рекомендации для пользователей

Этот инцидент подчеркивает текущую активность, связанную с северокорейскими группами, и демонстрирует постоянные риски, исходящие от целенаправленных угроз. Пользователям настоятельно рекомендуется:

  • Сохранять бдительность в отношении вложений электронной почты и незнакомых исполняемых файлов.
  • Обновлять программное обеспечение для обеспечения безопасности.
  • Проверять источники, прежде чем открывать ссылки или загружать файлы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: