FERRET Kenkėjiška programa
Nustatyta, kad Šiaurės Korėjos kibernetiniai darbuotojai, vykdantys užkrečiamojo interviu kampaniją, dislokuoja „macOS“ kenkėjiškų programų padermes, bendrai pramintas FERRET, prisidengdamos darbo pokalbio procesu. Neįtariantys taikiniai yra skatinami susisiekti su tariamu verbuotoju per nuorodą, kuri generuoja klaidos pranešimą, raginantį juos įdiegti arba atnaujinti programinę įrangą, pvz., „VCam“ arba „CameraAccess“, kad būtų galima tęsti pokalbį.
Turinys
Užkrečiamas interviu: nuolatinės kibernetinio šnipinėjimo pastangos
Iš pradžių 2023 m. pabaigoje atskleistas „Contagious Interview“ yra ilgalaikė kampanija, kuria siekiama užkrėsti aukas apgaulingais npm paketais ir vietinėmis programomis, kurios yra vaizdo konferencijų programinė įranga. Kampanija, taip pat sekama tokiais pavadinimais kaip DeceptiveDevelopment ir DEV#POPPER, toliau vystosi, taikant vis sudėtingesnę taktiką.
Bebro uodegos ir nematomo šeško numetimas
Atakos seka paprastai sukelia „BeaverTail“ – „JavaScript“ pagrindu sukurtą kenkėjišką programą, skirtą slaptiems duomenims iš naršyklių ir kriptovaliutų piniginių išgauti. Ši kenkėjiška programa taip pat veikia kaip papildomo naudingo krovinio – „Python“ pagrindu veikiančių užpakalinių durų, žinomų kaip „InvisibleFerret“, pristatymo mechanizmas.
„OtterCookie“: dar vienas žalingos veiklos sluoksnis
2024 m. gruodžio mėn. kibernetinio saugumo tyrinėtojai iš Japonijos aptiko kitą atakų grandinės komponentą: kenkėjiškos programos variantą, pavadintą OtterCookie . Ši „JavaScript“ kenkėjiška programa sukonfigūruota taip, kad gautų ir vykdytų papildomus kenksmingus krovinius, taip dar labiau išplečiant infekcijos galimybes.
Išsiskyrimo taktikos tobulinimas naudojant „ClickFix“ stiliaus apgaulę
Kai 2024 m. pabaigoje buvo aptikta FERRET kenkėjiškų programų šeima, mokslininkai pastebėjo, kad užpuolikai tobulino savo metodus, kad išvengtų aptikimo. Vienas iš žinomų metodų yra „ClickFix“ stiliaus metodas, verčiantis vartotojus nukopijuoti ir vykdyti nesaugią komandą „MacOS Terminal“ programoje, apsimetant, kad išsprendžiamos kameros ir mikrofono prieigos problemos.
Taikymas darbo ieškantiems asmenims per „LinkedIn“.
Pradinė šių atakų fazė dažnai prasideda „LinkedIn“ pagalba, kai grėsmės veikėjai prisistato verbuotojais. Pagrindinis jų tikslas yra įtikinti potencialias aukas atlikti vaizdo įvertinimą, kuris galiausiai veda prie Golango pagrindu veikiančių užpakalinių durų įrengimo. Ši kenkėjiška programa yra ypač klastinga, skirta kriptovaliutų lėšoms nusausinti iš „MetaMask“ piniginių, tuo pačiu leidžiant užpuolikams vykdyti komandas pažeistame įrenginyje.
FERRET kenkėjiškų programų komponentų suskaidymas
Tyrėjai nustatė keletą komponentų, susijusių su FERRET kenkėjiškų programų šeima, kurių kiekvienas atlieka atskirą funkciją atakų sekoje:
- FROSTYFERRET_UI: pradinio etapo naudingoji apkrova, dažnai užmaskuota kaip „ChromeUpdate“ arba „CameraAccess“ programos.
- FRIENDLYFERRET_SECD: antrinės Go pagrindu sukurtos užpakalinės durys, žinomos kaip „com.apple.secd“, anksčiau susietos su „Hidden Risk“ kampanija, skirta kriptovaliutų verslui.
- MULTI_FROSTYFERRET_CMDCODES: „Go“ konfigūracijos failas, palaikantis antrojo etapo galinių durų funkcionalumą.
„FlexibleFerret“: „MacOS“ patvarumo nustatymas
Taip pat buvo aptiktas atskiras kenkėjiškų programų artefaktų rinkinys, vadinamas FlexibleFerret. Šiame variante pagrindinis dėmesys skiriamas išlikimui užkrėstoje „macOS“ sistemoje naudojant LaunchAgent. Kenkėjiška programa pristatoma per diegimo programos paketą, pavadintą InstallerAlert, atspindintį „FROSTYFERRET_UI“ funkcijas.
Atakų vektorių išplėtimas ne tik darbo ieškantiems
Nors FlexibleFerret pavyzdžiai buvo platinami kaip Apple Installer paketai, tikslus metodas, naudojamas įtikinti aukas juos įvykdyti, lieka neaiškus. Tačiau įrodymai rodo, kad kenkėjiška programa taip pat platinama sukuriant netikras problemas teisėtose „GitHub“ saugyklose. Šis taktikos pokytis rodo platesnę taikymo strategiją, kuri apima ne tik darbo ieškančius asmenis, bet ir kūrėjus bei kitus technologijų pramonės specialistus.
Šiaurės Korėjos kibernetiniams veikėjams ir toliau tobulinant savo apgaulingus metodus, saugumo ekspertai ragina būti budrūs, kai pateikiami internetiniai darbo pasiūlymai ir programinės įrangos diegimo raginimai.
