Сisco Talos және Google Threat Intelligence Group жаңа зерттеулеріне сәйкес, Солтүстік Кореямен байланысты қауіп төндірушілер орталықтандырылмаған және жасырын зиянды бағдарламалық құралдарды қолданып, кибер операцияларын күшейтуде.
Науқандар криптовалютаны ұрлауға, желілерге енуге және күрделі жұмысқа қабылдау алаяқтықтары арқылы анықтаудан жалтаруға бағытталған.
Зиянды бағдарламалардың дамып келе жатқан әдістері кеңейіп жатқан мүмкіндіктерді көрсетеді
Cisco Talos зерттеушілері Солтүстік Кореяның Famous Chollima тобының жалғасып жатқан науқанын анықтады. Топ екі толықтыратын зиянды бағдарлама түрін, BeaverTail және OtterCookie қолданды. Дәстүрлі түрде деректерді ұрлау және эксфильтрациялау үшін қолданылатын бұл бағдарламалар жаңа функцияларды біріктіріп, тығыз өзара әрекеттесуге дейін дамыды.
Шри-Ланкадағы ұйымды қамтыған соңғы оқиғада шабуылдаушылар жұмыс іздеушіні техникалық бағалаудың бір бөлігі ретінде жасырылған зиянды кодты орнатуға тартты. Ұйымның өзі тікелей нысана болмағанымен, Cisco Talos сарапшылары OtterCookie-мен байланысты пернетақта басуларын тіркеу және скриншот жасау модулін де байқады, бұл жалған жұмыс ұсыныстарына қатысқан адамдарға кеңірек қауіп төндіретінін көрсетеді. Бұл модуль пернетақта басуларын жасырын түрде жазып, жұмыс үстелінің суреттерін түсіріп, оларды қашықтағы командалық серверге автоматты түрде жіберді.
Бұл бақылау Солтүстік Кореямен байланысты қауіп төндіруші топтардың эволюциясын және олардың бейқам нысандарды бұзу үшін әлеуметтік инженерия әдістеріне назар аударуын көрсетеді.
Блокчейн басқару инфрақұрылымы ретінде қолданылды
Google Threat Intelligence Group (GTIG) Солтүстік Кореямен байланысты UNC5342 актерінің операциясын анықтады. Топ EtherHiding деп аталатын жаңа зиянды бағдарламаны қолданды. Бұл құрал зиянды JavaScript жүктемелерін жалпыға қолжетімді блокчейнде жасырып, оны орталықтандырылмаған командалық және басқару (C2) желісіне айналдырады.
Блокчейнді пайдалану арқылы шабуылдаушылар дәстүрлі серверлерсіз зиянды бағдарламаның мінез-құлқын қашықтан өзгерте алады. Құқық қорғау органдарының жоюы әлдеқайда қиынға соғады. Сонымен қатар, GTIG UNC5342 EtherHiding-ті Palo Alto Networks бұрын анықтаған Contagious Interview деп аталатын әлеуметтік инженерия науқанында қолданғанын хабарлады, бұл Солтүстік Кореямен байланысты қауіп төндірушілердің табандылығын көрсетеді.
Жұмыс іздеушілерді нысанаға алып, криптовалюта мен деректерді ұрлау
Google зерттеушілерінің айтуынша, бұл кибер операциялар әдетте криптовалюта және киберқауіпсіздік салаларындағы мамандарға бағытталған жалған жұмыс хабарландыруларынан басталады. Жәбірленушілер жалған бағалауларға қатысуға шақырылады, сол кезде олардан зиянды кодпен ендірілген файлдарды жүктеп алу сұралады.
Инфекция процесі көбінесе JadeSnow, BeaverTail және InvisibleFerret сияқты бірнеше зиянды бағдарламалар отбасын қамтиды. Олар бірге шабуылдаушыларға жүйелерге қол жеткізуге, деректерді ұрлауға және тиімді түрде құлыптау бағдарламаларын орналастыруға мүмкіндік береді. Соңғы мақсаттар тыңшылық пен қаржылық ұрлықтан бастап, ұзақ мерзімді желіге енуге дейін әртүрлі.
Cisco және Google Солтүстік Кореямен байланысты кибер қауіптерді анықтауға және оларға жауап беруге көмектесу үшін бұзылу индикаторларын (IOC) жариялады. Бұл ресурстар зиянды әрекеттерді анықтау және ықтимал бұзылуларды азайту үшін техникалық мәліметтерді ұсынады. Зерттеушілер блокчейн мен модульдік зиянды бағдарламалардың интеграциясы жаһандық киберқауіпсіздік қорғаныс күштерін одан әрі қиындататынын ескертеді.