Северокорейская угроза: хакеры нацеливаются на разработчиков GitHub

Источник: www.sentinelone.com
Кампания Contagious Interview, связанная с северокорейскими хакерами, активно проводит атаки на разработчиков программного обеспечения, целенаправленно заманивая их к установке вредоносного ПО. Основной целью злоумышленников является платформа GitHub, где они предлагают «собеседования», скрывающие под собой установки вредоносных программ.
Используемые методы и вредоносное ПО
В данной кампании использует вредоносное ПО семейства macOS Ferret, против которого Apple применяет защитные меры через свой инструмент XProtect. Среди известных образцов выделяют:
- FROSTYFERRET_UI
- FRIENDLYFERRET_SECD
- MULTI_FROSTYFERRET_CMD
Недавно были обнаружены новые образцы, названные FlexibleFerret, которые пока не фиксируются XProtect. Большинство жертв получают сообщения с предложением установить или обновить ПО, такие как VCam или CameraAccess, под скрытую ссылку.
Архитектура вредоносного ПО
Вредоносная программа запускает сценарий оболочки, устанавливая исполняемый файл, который маскируется под обновление Google Chrome. Ключевые элементы включают:
- двойной файл обновления Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta)
- скрипт оболочки ffmpeg.sh
Недавние обновления XProtect направлены на устранение бэкдоров, встроенных в вредоносные программы, включая файлы с именами com.apple.secd (FRIENDLYFERRET) и исполняемые файлы, вы выдающиеся за обновление Chrome.
Методы сбора данных
Злоумышленники используют Dropbox для сбора данных и определения общедоступных IP-адресов жертв через сервис api.ipify.org. Важно отметить, что перед последним обновлением XProtect были зафиксированы варианты обновления Chrome с действительной подписью разработчика Apple.
Потенциальные угрозы
Один из дропперов был распознан как установочный пакет Apple с именем versus.pkg, содержащий:
- приложение InstallerAlert.app
- приложение versus.app
- двойной файл названный «zoom»
Скрипт запускает двоичный файл zoom, который соединяется с подозрительным доменом zoom.callservice.us, открывая InstallerAlert.app с обманчивым сообщением об ошибке.
Ключевым моментом является то, что InstallerAlert.app имитирует предупреждения о легитимном ПО и сохраняется в пользовательской библиотеке LaunchAgents с plist-файлом com.zoom.plist.
Постоянные угрозы и расширение целевой аудитории
Кампания Contagious Interview ведется с ноября 2023 года и нацелена не только на лиц, ищущих работу, но также активно расширяет аудиторию разработчиков с использованием платформы GitHub для распространения дропперов.
Злоумышленники применяют социальную инженерию для создания поддельных заявок в репозиториях разработчиков, что значительно увеличивает риски для меньшего числа, но более уязвимого контингента, профессионалов в области разработки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



