Северная Корея: окончательная кибератака? Вредоносные программы-уклонисты и блокчейн под прицелом.

Согласно новым данным, полученным компаниями Cisco Talos и Google Threat Intelligence Group, участники угроз, связанные с Северной Кореей, активизируют свои кибероперации, используя децентрализованные и уклончивые инструменты вредоносного ПО.

Кампании направлены на кражу криптовалют, проникновение в сети и обход контроля безопасности с помощью сложных мошеннических действий по вербовке.

Эволюция техник вредоносного ПО для уклонения

Исследователи компании Talos выявили кампанию, проводимую северокорейской группой Famous Chollima, которая использовала два взаимодополняющих штамма вредоносного ПО: BeaverTail и OtterCookie.

Эти программы, традиционно используемые для кражи учетных данных и утечки информации, эволюционировали и стали включать в себя новые функции и более тесное взаимодействие.

В недавнем инциденте с участием организации в Шри-Ланке злоумышленники обманом заставили соискателя работы установить вредоносный код, замаскированный под техническую оценку.

Хотя сама организация не являлась непосредственной целью, аналитики Cisco Talos заметили модуль для ведения записей с клавиатуры и захвата снимков экрана, связанный с OtterCookie. Этот модуль скрытно записывал нажатия клавиш и захватывал изображения рабочего стола, автоматически передавая их на удаленный командный сервер.

Это наблюдение подчеркивает продолжающееся развитие связанных с Северной Кореей групп угроз и их ориентацию на методы социальной инженерии для компрометации ничего не подозревающих целей.

Блокчейн, используемый в качестве командной инфраструктуры

Группа Google Threat Intelligence Group (GTIG) выявила операцию связанного с Северной Кореей агента UNC5342. Группа использовала новую вредоносную программу под названием EtherHiding.

Этот инструмент скрывает вредоносные JavaScript-файлы в публичном блокчейне, превращая его в децентрализованную сеть управления и контроля (C2).

Используя блокчейн, злоумышленники могут удаленно изменять поведение вредоносной программы, не прибегая к помощи традиционных серверов. В результате действия правоохранительных органов становятся гораздо сложнее.

Кроме того, GTIG сообщила, что UNC5342 использовал EtherHiding в кампании социальной инженерии под названием Contagious Interview, ранее выявленной компанией Palo Alto Networks, что свидетельствует о настойчивости угроз, связанных с Северной Кореей.

Цель: профессионалы криптовалютного сектора

По данным исследователей Google, эти кибероперации обычно начинаются с мошеннических объявлений о работе, нацеленных на профессионалов криптовалютного сектора и сектора кибербезопасности.

Жертвам предлагают принять участие в фальшивых аттестациях, в ходе которых их просят загрузить файлы, содержащие вредоносный код.

В процессе заражения часто участвуют несколько семейств вредоносных программ, включая JadeSnow, BeaverTail и InvisibleFerret. Вместе эти инструменты позволяют злоумышленникам получать доступ к системам, красть учетные данные и эффективно внедрять программы-вымогатели. Их конечные цели варьируются от шпионажа и финансовых хищений до долгосрочного проникновения в сеть.

Компании Cisco и Google опубликовали индикаторы компрометации (IOCs), чтобы помочь организациям обнаруживать и реагировать на текущие киберугрозы, связанные с Северной Кореей. Исследователи предупреждают, что интеграция блокчейна и модульных вредоносных программ, вероятно, будет и дальше усложнять глобальные усилия по защите кибербезопасности.