29 ноября 2024 года было зарегистрировано новое нападение хакеров, которые подделали электронное письмо от сообщества разработчиков Dev.to с целью распространения вредоносного ПО. Злоумышленники использовали ссылку на BitBucket, ведущую к проекту, содержащему вредоносные файлы, замаскированные под конфигурации и загрузчики.
Содержимое атакующего сообщения
Хакеры разместили ссылку на проект, содержащий:
- BeaverTail — маскирующийся под файл конфигурации tailwind.config.js
- Загрузчик — идентифицирован как car.dll
Хотя исходная ссылка была незамедлительно удалена, образцы этих файлов были обнаружены на VirusTotal, что подтвердило их вредоносные характеристики.
Анализ вредоносных компонентов
BeaverTail связан с кибератаками, инициируемыми Северной Кореей, и специализируется на краже информации, а также распространении дополнительных вредоносных программ. Загрузчик car.dll выполняет команды Windows и имеет поведенческие схожества с LightlessCan, используемым Lazarus group.
Анализ показал, что:
- Файл car.dll выполняется из пути установки с ключевым словом «autopart».
- С использованием Curl, он загружает файлы под именами, соответствующими известному поведению BeaverTail.
Функциональные возможности BeaverTail
Вредоносная программа tailwind.config.js сочетает тактику обфускации и подпрограммы для выполнения car.dll. BeaverTail выполняет несколько функций, включая:
- Кражу учётных данных пользователей из веб-браузеров.
- Сбор информации о криптовалютных кошельках.
- Загрузку дополнительных вредоносных ПО, таких как InvisibleFerret.
После выполнения BeaverTail инициирует связь с четырьмя серверами управления (C&C), собирает системную информацию и шифрует её, генерируя случайный ключ. Первоначальная коммуникация включает передачу данных системы и зашифрованного ключа, кодированного в Base64.
Команды и атака Windows
Интересно, что команда #34 позволяет выполнять команды Windows, такие как:
- schtasks
- ping
- reg
Это позволяет злоумышленникам использовать методы распараллеливания, ранее связанные с LightlessCan.
Рекомендации для пользователей
Этот инцидент подчеркивает текущую активность, связанную с северокорейскими группами, и демонстрирует постоянные риски, исходящие от целенаправленных угроз. Пользователям настоятельно рекомендуется:
- Сохранять бдительность в отношении вложений электронной почты и незнакомых исполняемых файлов.
- Обновлять программное обеспечение для обеспечения безопасности.
- Проверять источники, прежде чем открывать ссылки или загружать файлы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Северокорейская кибератака: вредоносное ПО под маской сотрудничества".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.