朝鮮黑客部署基於區塊鏈的工具,擴大全球網絡攻擊活動
這些活動的目的是通過複雜的招聘騙局竊取加密貨幣、滲透網絡並逃避偵查。
惡意軟件技術的不斷演變反映出其能力的不斷增強
思科 Talos 研究人員發現了朝鮮組織 Famous Chollima 正在進行的攻擊活動。 該組織使用了兩種互補的惡意軟件:BeaverTail 和 OtterCookie。 這些程序傳統上用於憑證竊取和數據洩露,如今已發展到集成新功能並實現更緊密的互操作。
.divm, .divd {display: none;}@media screen 和 (max-Width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}在最近涉及一個組織的事件中斯里蘭卡攻擊者誘騙求職者安裝偽裝成技術評估的惡意代碼。 儘管該機構本身並非直接攻擊目標,但思科 Talos 分析師還觀察到一個與 OtterCookie 相關的鍵盤記錄和截圖模塊,這凸顯了參與虛假工作機會的個人面臨的更大風險。 該模塊會秘密記錄擊鍵並捕獲桌面圖像,並自動將其傳輸到遠程命令服務器。
這一觀察凸顯了與朝鮮結盟的威脅團體的持續演變及其對社會工程技術進行攻擊毫無戒心的目標的關注。
區塊鏈用作指揮基礎設施
谷歌威脅情報小組 (GTIG) 發現了與朝鮮有關聯的攻擊者 UNC5342 的一項行動。 該組織使用了一種名為 ETHerHiding 的新惡意軟件。 該工具將惡意 JavaScript 負載隱藏在公共區塊鏈上,使其成為去中心化的命令和控制 (C2) 網絡。
通過使用區塊鏈,攻擊者無需傳統服務器即可遠程更改惡意軟件行為。 執法部門的打擊難度將大大增加。 此外,GTIG 報告稱,UNC5342 在名為“傳染性訪談”的社會工程活動中使用了 etherHiding,該活動此前已被 Palo Alto Networks 發現,這凸顯了與朝鮮結盟的威脅行為者的持久性。
針對求職者竊取加密貨幣和數據
據谷歌研究人員稱,這些網絡行動通常始於虛假招聘信息針對加密貨幣和網絡安全行業的專業人士。 受害者被邀請參加虛假評估,並被要求下載嵌入惡意代碼的文件.
感染過程通常涉及多個惡意軟件包括 JadeSnow、BeaverTail 和 InvisibleFerret 在內的惡意軟件家族。 這些惡意軟件讓攻擊者能夠訪問系統、竊取憑證並高效部署勒索軟件。 其最終目標涵蓋間諜活動、金融盜竊以及長期網絡滲透等。
思科和谷歌發布了入侵指標 (IOC),以幫助各組織檢測並應對與朝鮮相關的持續網絡威脅。 這些資源提供了識別惡意活動和緩解潛在漏洞的技術細節。 研究人員警告稱,區塊鏈與模塊化惡意軟件的整合可能會繼續使全球網絡安全防禦工作更加複雜。
