根据 Cisco Talos 和 Google 威胁情报小组的新发现,与朝鲜有关的威胁行为者正在加大其网络行动力度,使用去中心化和难以察觉的恶意软件工具。
这些行动旨在窃取加密货币、渗透网络,并通过复杂的招聘骗局来规避检测。
恶意软件技术进化能力扩展Cisco Talos 的研究人员发现,朝鲜组织 Famous Chollima 正在进行一项持续的行动。该组织使用了两种互补的恶意软件,BeaverTail 和 OtterCookie。这些程序传统上用于凭证盗窃和数据外泄,现在已演变为集成新功能并实现更紧密的协作。
在最近涉及斯里兰卡的事件中,攻击者诱使一名求职者安装伪装成技术评估一部分的恶意代码。尽管该组织本身并非直接目标,Cisco Talos 分析师还观察到与 OtterCookie 相关的键盘记录和截屏模块,这突显了假招聘信息对个人的广泛风险。该模块秘密记录击键并捕获桌面图像,自动将其传输到远程指挥服务器。
这一观察结果强调了与朝鲜有关的威胁组织的持续演变,以及他们对社会工程技术的关注,以攻击毫无防备的目标。
区块链用作指挥基础设施Google 威胁情报小组(GTIG)识别出一个由朝鲜关联的行为者 UNC5342 发起的行动。该组织使用了一种名为 EtherHiding 的新型恶意软件。该工具将恶意 JavaScript 负载隐藏在公共区块链上,将其转变为去中心化的指挥和控制(C2)网络。
通过使用区块链,攻击者可以在没有传统服务器的情况下远程更改恶意软件行为,使执法部门的打击变得更加困难。此外,GTIG 报告称,UNC5342 在名为 Contagious Interview 的社会工程活动中应用了 EtherHiding,该活动此前已被 Palo Alto Networks 识别,展示了与朝鲜有关的威胁行为者的持续性。
根据 Google 研究人员的说法,这些网络行动通常从针对加密货币和网络安全行业专业人士的虚假招聘信息开始。受害者被邀请参与虚假的评估,在此过程中被指示下载嵌入恶意代码的文件。
感染过程通常涉及多个恶意软件家族,包括 JadeSnow、BeaverTail 和 InvisibleFerret。它们共同使攻击者能够访问系统、窃取凭证并高效部署勒索软件。最终目标从间谍活动和金融盗窃到长期网络渗透不等。
思科(Cisco)和谷歌(Google)发布了妥协指标(IOCs),以帮助各组织检测和应对与朝鲜相关的持续网络威胁。这些资源提供了识别恶意活动和缓解潜在漏洞的技术细节。研究人员警告称,区块链与模块化恶意软件的结合可能会继续使全球网络安全防御工作复杂化。