29 ноября 2024 года мир кибербезопасности потрясла новость о том, что известный хакер Dev.TO опубликовал вредоносный код, скрытый в объявлениях о приеме на работу. Атака была осуществлена через ссылку на BITBUCKET, ведущую к проекту, содержащему несколько вредоносных компонентов.
Механизм атаки
В рамках данного проекта использовался вредоносный скрипт, замаскированный под Tailwind.config.js, который содержал:
- Загрузчик car.dll
- Вредоносное ПО Beavertail, известное своей способностью к утечке информации и загрузке дополнительных программ.
Эти компоненты были подтверждены после анализа файлов на сайте VirusTotal, который показал журналы выполнения вредоносных программ car.dll и Beavertail, идентифицированных в системах в Корее.
Особенности вредоносного ПО
Beavertail, как сообщают эксперты из ESET, связан с северокорейскими хакерами и используется для:
- Утечки информации
- Загрузки дополнительных вредоносных программ
Загрузчик car.dll использует встроенные команды Windows для извлечения бэкдора и показывает сходство с ранее идентифицированной вредоносной программой LightlessCan от группы Lazarus.
Работа вредоносной программы
Проект, проанализированный специалистами, показал, что файл Tailwind.config.js выполняет функции как загрузчика, так и компонента car.dll, что увеличивает возможность дальнейших вредоносных действий. В процессе выполнения загрузчика были найдены ссылки на ключевое слово Autopart, что указывает на имитацию предыдущих инцидентов с аналогичным ПО.
Подтвержденные случаи распространения вредоносного ПО Beavertail выявили его использование в рамках фишинговых атак, что также связано с инцидентами в Корее. Компоненты программы, такие как p.ZI и p2.zip, были идентифицированы как часть схемы работы Beavertail.
Команды и методы работы
Вредоносное ПО выполняет команды после установления успешного соединения с четырьмя адресами серверов управления и переписки (C&C). Среди действий, осуществляемых программой, можно выделить:
- Сбор системной информации
- Шифрование данных с использованием случайно сгенерированного открытого ключа RSA
- Использование кодировок base64 для безопасной связи с серверами C&C
Внедрение этих командных структур отражает методологии, ранее выявленные при работе с бэкдорами, включая использование базовых команд Windows, таких как Schtasks, Ping и REG.
Предупреждение и профилактика
Важно отметить, что команда 34 вредоносной программы имеет особое значение, поскольку она инициирует команды операционной системы. Непрерывная проверка атак, связанных с северокорейскими группировками, подчеркивает необходимость бдительности пользователей в отношении исполняемых файлов из неизвестных источников.
Лучшие практики для обеспечения безопасности включают:
- Регулярное обновление программного обеспечения безопасности
- Повышение осведомленности о растущем числе хакеров
Появление вредоносного ПО Beavertail и схожих инструментов подтверждает необходимость внимательного отношения к всем материалам из сети
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Скрытая угроза: атака хакера Dev.TO через вакансии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.