Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

FlexibleFerret: рекрутинг‑ловушка с Golang‑бэкдором и C2

3 мин
Новый отчет разоблачает кампанию вредоносного ПО под названием FlexibleFerret, приписываемую операторам, связанным с Северной Кореей. Атака маскируется под легитимный процесс найма и использует социальную инженерию для обхода защит, вытягивая учетные данные и личные материалы жертв. Механика атаки проста и одновременно эффективна: злоумышленники создают обманчивые сайты по подбору персонала (в одном из случаев — evaluza.com), где потенциальным кандидатам предлагают пройти тестовое задание или загрузить личные видео под видом резюме. После этого жертве предлагают установить «приложение‑приманку», которое имитирует запросы браузера — например, запрос доступа к камере или просьбу выполнить команды в терминале. За атаку отвечает Golang‑проект под именем CDrivers, выступающий в роли Backdoor. Как только жертва «попадается в ловушку», бэкдор входит в непрерывный цикл обработки команд — StartFirst5179Iter. Цикл выполняет следующие операции: Таким образом бэкдор поддерживает адаптивный цикл, к
Оглавление

Новый отчет разоблачает кампанию вредоносного ПО под названием FlexibleFerret, приписываемую операторам, связанным с Северной Кореей. Атака маскируется под легитимный процесс найма и использует социальную инженерию для обхода защит, вытягивая учетные данные и личные материалы жертв.

Как работает схема

Механика атаки проста и одновременно эффективна: злоумышленники создают обманчивые сайты по подбору персонала (в одном из случаев — evaluza.com), где потенциальным кандидатам предлагают пройти тестовое задание или загрузить личные видео под видом резюме. После этого жертве предлагают установить «приложение‑приманку», которое имитирует запросы браузера — например, запрос доступа к камере или просьбу выполнить команды в терминале.

  • Ложные веб‑страницы и вакансии привлекают доверие и требуют подробных личных данных и видеооткликов.
  • Кандидата просят выполнить команды в терминале или предоставить данные для входа; эти данные затем собираются.
  • Собранная информация и файлы отправляются на аккаунт Dropbox, контролируемый злоумышленниками.

Техническая реализация: Backdoor на базе Golang

За атаку отвечает Golang‑проект под именем CDrivers, выступающий в роли Backdoor. Как только жертва «попадается в ловушку», бэкдор входит в непрерывный цикл обработки команд — StartFirst5179Iter. Цикл выполняет следующие операции:

  • вызывает обработчики для текущего типа команды;
  • формирует исходящие сообщения с идентификатором машины;
  • подготавливает данные для обмена с сервером команд и контроля (C2) через функцию Htxp_Exchange;
  • обрабатывает ответы от C2 для декодирования следующей команды и продолжения цикла.

Таким образом бэкдор поддерживает адаптивный цикл, который может выполнять произвольные инструкции злоумышленников и передавать собранные данные.

Механизм устойчивости и обработка ошибок

Одной из ключевых особенностей FlexibleFerret является устойчивость к сбоям. Если при выполнении команды происходит ошибка, бэкдор переводит тип команды на безвредный запрос системной информации, после чего переходит в режим сна на пять минут. Это позволяет программе продолжать работу несмотря на временные сбои и повышает шансы на последующее получение управления.

Эта тактика повышает живучесть кампании и делает обнаружение и удаление вредоносного ПО более сложным.

Почему это опасно и как обходятся защитные механизмы

FlexibleFerret является примером того, как социальная инженерия помогает обойти технические барьеры — в частности, Gatekeeper на macOS. При грамотной подаче злоумышленники заставляют жертву выполнять действия, которые обычно не прошли бы при стандартной загрузке приложений.

Важно помнить: основная угроза здесь — доверие пользователя. Даже мощные платформенные механизмы безопасности бессильны, если человек добровольно предоставляет доступ и выполняет команды.

Рекомендации для организаций и пользователей

  • Не выполнять команды в терминале по просьбе незнакомых рекрутеров или сайтов. Любые подобные запросы следует считать подозрительными.
  • Проверять подлинность вакансий и доменов (WHOIS, история домена, контактные данные компании).
  • Не отправлять личные видео и дополнительные файлы без верификации работодателя.
  • Ограничить возможности автоматической загрузки и мониторить исходящий трафик, особенно к хостингам типа Dropbox и другим облачным сервисам.
  • Внедрять средства EDR и мониторинга для выявления аномалий, связанных с непрерывными соединениями к C2 и подозрительными процессами на машинах.
  • Проводить обучение сотрудников по распознаванию схем социальной инженерии и процедурам подтверждения рекрутеров.

Вывод

FlexibleFerret демонстрирует, что атаки на людей через фальшивый найм — это не теоретическая угроза, а реальная и растущая проблема. Для защиты необходим комплексный подход: технические средства обнаружения и блокировки, а также повышенная осведомленность пользователей. Организациям следует особенно внимательно относиться к незапрошенным проверкам вакансий и инструкциям, требующим выполнения команд в терминале — эти тактики будут становиться только более изощренными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FlexibleFerret: рекрутинг‑ловушка с Golang‑бэкдором и C2".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.