- Grupa Lazarus korzystała z usług pamięci masowej JSON do hostowania złośliwego oprogramowania w kampanii Contagious Interview skierowanej do programistów
- Atakujący wabili ofiary fałszywymi ofertami pracy na LinkedIn, dostarczając złośliwe oprogramowanie BeaverTail, InvisibleFerret i TsunamiKit
- Złośliwe oprogramowanie eksfiltruje dane, kradnie kryptowaluty i wydobywa Monero – dopasowując się do normalnego przepływu pracy programistów
Zaobserwowano, że sponsorowane przez państwo północnokoreańskie ugrupowania cyberprzestępcze, będące częścią niesławnej grupy Lazarus, hostowały złośliwe oprogramowanie i inny złośliwy kod w usługach przechowywania JSON.
Badacze cyberbezpieczeństwa NVISIO zauważyli, że widzieli atakujących korzystających z JSON Keeper, JSONsilo i npoint.io, próbując pozostać niewykrytym i wytrwałym w swoich atakach.
Ataki wydają się być częścią zaraźliwej kampanii wywiadów. W nim złoczyńcy najpierw tworzyli fałszywe profile na LinkedIn i zwracali się do twórców oprogramowania z kuszącymi ofertami pracy lub prosili o pomoc w projekcie kodowania. W trakcie tej wymiany oszuści proszą ofiary o pobranie projektu demonstracyjnego z GitHub, GitLab lub Bitbucket.
Wprowadzenie infostealera i backdoora
NVISIO poinformowało, że w jednym z projektów znalazło wartość zakodowaną w formacie Base64, która choć wygląda jak klucz API, w rzeczywistości reprezentuje adres URL usługi przechowywania JSON. W magazynie znaleźli BeaverTail – złośliwe oprogramowanie kradnące informacje i moduł ładujący, który uruchamiał backdoora w Pythonie o nazwie InvisibleFerret i TsunamiKit.
To ostatnie to wieloetapowe narzędzie szkodliwego oprogramowania napisane w Pythonie i .NET, które może służyć zarówno jako złodziej informacji, jak i cryptojacker, który instaluje XMRig na zaatakowanym urządzeniu i zmusza je do wydobywania waluty Monero. Niektórzy badacze donieśli również, że zauważyli BeaverTrail wdrażający Tropidoor i AkdoorTea.
„Jest oczywiste, że aktorzy stojący za Contagious Interview nie pozostają daleko w tyle i próbują zarzucić bardzo szeroką sieć, aby skompromitować dowolnego twórcę (oprogramowanie), którego mogą uznać za interesującego, co skutkuje ekstrakcją wrażliwych danych i informacji o portfelu kryptograficznym” – ostrzegli badacze.
„Korzystanie z legalnych witryn internetowych, takich jak JSON Keeper, JSON Silo i npoint.io, a także repozytoriów kodu, takich jak GitLab i GitHub, podkreśla motywację aktora i ciągłe próby działania w ukryciu i wtapiania się w normalny ruch”.
Poprzez Wiadomości o hakerach
Najlepszy program antywirusowy na każdą kieszeń
Obserwuj TechRadar w Google News I dodaj nas jako preferowane źródło aby otrzymywać wiadomości od ekspertów, recenzje i opinie w swoich kanałach. Koniecznie kliknij przycisk Obserwuj!
I oczywiście Ty też możesz Śledź TechRadar na TikTok aby otrzymywać aktualności, recenzje, rozpakowywania wideo i otrzymywać od nas regularne aktualizacje pod adresem WhatsApp Również.
