loading...
根据思科 Talos 和谷歌威胁情报小组的最新研究,与朝鲜相关的网络威胁行为者正在采用基于区块链的工具,进一步扩展其复杂的网络攻击活动。
这些攻击行动通过精心设计的招聘骗局窃取加密货币、渗透关键网络并规避执法机构的侦查。
思科 Talos 的研究人员发现,隶属于朝鲜的黑客组织 Famous Chollima 正在进行一系列新型网络攻击。该组织使用了两种高度互补的恶意软件工具——BeaverTail 和 OtterCookie。这些工具最初用于窃取凭证和泄露数据,如今已发展出新的功能,并实现了更高的互操作性。
.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}在最近一起涉及斯里兰卡的事件中,攻击者伪装成招聘方,通过虚假的工作机会诱骗求职者安装伪装成技术评估工具的恶意代码。尽管目标机构本身并非直接攻击对象,但思科 Talos 分析师还发现了一个与 OtterCookie 相关的键盘记录和截图模块。这一模块能够秘密捕获击键信息并截取桌面图像,随后将数据自动传输至远程命令服务器。
这表明,与朝鲜有关的威胁行为者正持续改进其社会工程攻击策略,以针对毫无戒心的个人和组织。
谷歌威胁情报小组 (GTIG) 发现,与朝鲜相关的攻击者 UNC5342 开发了一种名为EtherHiding的新恶意软件。这种工具将恶意 JavaScript 负载隐藏在公共区块链上,从而构建一个去中心化的命令和控制 (C2) 网络。
通过利用区块链技术,攻击者无需依赖传统服务器即可动态更改恶意软件的行为,显著增加了执法部门追踪和打击的难度。此外,GTIG 报告称,UNC5342 在一项名为“传染性访谈”的社会工程活动中使用了 EtherHiding。这一活动此前已被 Palo Alto Networks 发现,进一步凸显了朝鲜相关威胁行为者的持久性和适应能力。
据谷歌研究人员透露,这些网络攻击通常从虚假招聘信息开始,主要针对加密货币和网络安全行业的专业人士。受害者被邀请参加虚假的技术评估,并被要求下载嵌入恶意代码的文件。
感染过程通常涉及多个恶意软件家族,包括 JadeSnow、BeaverTail 和 InvisibleFerret。这些恶意软件使攻击者能够访问受害者的系统、窃取凭证,并高效部署勒索软件。其最终目标涵盖间谍活动、金融盗窃以及长期网络渗透等。
为帮助各组织应对这些威胁,思科和谷歌发布了入侵指标 (IOC),提供了识别恶意活动和缓解潜在漏洞的技术细节。研究人员警告称,区块链技术与模块化恶意软件的结合可能会使全球范围内的网络安全防御工作更加复杂。
259
747
710
885
944
705
875
503
454
964
