FERRET Pahavara
Leiti, et nakatava intervjuu kampaania taga olevad Põhja-Korea kübertöötajad kasutavad tööintervjuu protsessi varjus macOS-i pahavara tüvesid, mida ühiselt nimetatakse FERRETiks. Pahaaimamatud sihtmärgid suunatakse oletatava värbajaga suhtlema lingi kaudu, mis genereerib veateate, paludes neil intervjuu jätkamiseks installida või värskendada tarkvara, nagu VCam või CameraAccess.
Sisukord
Nakkuslik intervjuu: pidev küberspionaažitöö
Algselt 2023. aasta lõpus paljastatud nakkav intervjuu kujutab endast pidevat kampaaniat, mille eesmärk on nakatada ohvreid petlike npm-pakettide ja videokonverentsitarkvarana kasutatavate algrakenduste kaudu. Kampaania, mida jälgitakse ka selliste nimede all nagu DeceptiveDevelopment ja DEV#POPPER, areneb edasi, kasutades järjest keerukamaid taktikaid.
Koprasaba ja InvisibleFerret kukutamine
Rünnakujärjestuse tulemuseks on tavaliselt JavaScripti-põhise pahavara BeaverTail juurutamine, mis on loodud tundlike andmete eraldamiseks brauseritest ja krüptovaluuta rahakotist. See pahavara toimib ka täiendava kasuliku koorma – Pythoni-põhise tagaukse, mida tuntakse kui InvisibleFerret – edastamismehhanismina.
OtterCookie: veel üks kahjuliku tegevuse kiht
2024. aasta detsembris tuvastasid Jaapani küberturvalisuse teadlased ründeahelas veel ühe komponendi: pahavara variandi nimega OtterCookie . See JavaScripti pahavara on konfigureeritud tooma ja käivitama täiendavaid kahjulikke koormusi, mis laiendab veelgi nakkuse võimalusi.
Vältimistaktika täiustamine ClickFix-stiilis pettusega
Kui FERRETi pahavaraperekond 2024. aasta lõpus avastati, märkisid teadlased, et ründajad täiustasid oma meetodeid, et tuvastamisest paremini kõrvale hiilida. Üks tähelepanuväärne tehnika hõlmab ClickFixi stiilis lähenemist, mis meelitab kasutajaid kopeerima ja täitma MacOS-i terminali rakenduses ebaturvalisi käske, ettekäändel, et lahendatakse kaamerale ja mikrofonile juurdepääsu probleemid.
Tööotsijate sihtimine LinkedIni kaudu
Nende rünnakute esialgne faas algab sageli LinkedIni teavitamisega, kus ohustajad esinevad värbajatena. Nende peamine eesmärk on veenda potentsiaalseid ohvreid läbima videoanalüüsi, mis viib lõpuks Golangi-põhise tagaukse paigaldamiseni. See pahavara on eriti salakaval, mis on loodud krüptovaluutafondide tühjendamiseks MetaMaski rahakottidelt, võimaldades samal ajal ründajatel rikutud seadmes käske täita.
FERRETi pahavara komponentide purustamine
Teadlased on tuvastanud mitu FERRET-i pahavara perekonnaga seotud komponenti, millest igaüks täidab ründejärjestuses eraldi funktsiooni:
- FROSTYFERRET_UI: algfaasi kasulik koormus, mis on sageli maskeeritud ChromeUpdate'i või CameraAccessi rakendusteks.
- FRIENDLYFERRET_SECD: teisene Go-põhine tagauks, mida tuntakse nime all "com.apple.secd", mis oli varem seotud krüptovaluutaäridele suunatud varjatud riski kampaaniaga.
- MULTI_FROSTYFERRET_CMDCODES: Go konfiguratsioonifail, mis toetab teise etapi tagaukse funktsioone.
FlexibleFerret: MacOS-i püsivuse loomine
Samuti on avastatud eraldi pahavara artefaktide komplekt, mida nimetatakse FlexibleFerretiks. See variant keskendub püsivuse säilitamisele nakatunud macOS-i süsteemis LaunchAgenti abil. Pahavara tarnitakse installipaketi nimega InstallerAlert kaudu, mis peegeldab FROSTYFERRET_UI funktsioone.
Rünnakuvektorite laiendamine väljaspool tööotsijaid
Kuigi FlexibleFerreti näidiseid levitati Apple Installeri pakettidena, jääb ohvrite hukkamise veenmiseks kasutatud täpne meetod ebaselgeks. Tõendid viitavad aga sellele, et pahavara levitatakse ka seaduslikes GitHubi hoidlates võltsprobleemide loomisega. See nihe taktikas annab märku laiemast sihtimisstrateegiast, mis ulatub kaugemale tööotsijatest ja on suunatud arendajatele ja teistele tehnoloogiatööstuse spetsialistidele.
Kuna Põhja-Korea küberosalised jätkavad oma petlike meetodite viimistlemist, nõuavad turvaeksperdid veebipõhiste tööpakkumiste ja tarkvara installimise juhiste kasutamisel valvsust.
