朝鲜黑客利用伪造的 FreeConference 应用程序瞄准求职者

朝鲜威胁行为者利用假冒 FreeConference.com 的虚假 Windows 视频会议应用程序为开发人员系统提供后门，作为正在进行的名为 Contagious Interview 的财务驱动活动的一部分。

新加坡公司 Group-IB 于 2024 年 8 月中旬发现了新的攻击浪潮，这再次表明该活动还利用 Windows 和 Apple macOS 的本机安装程序来传播恶意软件。

Contagious Interview，也被跟踪为 DEV#POPPER，是由 CrowdStrike 以 Famous Chollima 的绰号跟踪的朝鲜威胁行为者精心策划的恶意活动。

攻击链从虚构的工作面试开始，诱骗求职者下载并运行一个包含 BeaverTail 下载器恶意软件的 Node.js 项目，该项目反过来提供了一个称为 InvisibleFerret 的跨平台 Python 后门，该后门配备了远程控制、键盘记录和浏览器窃取功能。

BeaverTail 的一些迭代也起到信息窃取的作用，以 JavaScript 恶意软件的形式出现，通常通过伪造的 npm 包分发，作为面试过程中所谓的技术评估的一部分。

但在 2024 年 7 月，当 Windows MSI 安装程序和伪装成合法 MiroTalk 视频会议软件的 Apple macOS 磁盘映像 （DMG） 文件在野外被发现时，这种情况发生了变化，这些文件充当了部署 BeaverTail 更新版本的渠道。

Group-IB 的最新调查结果将该活动归咎于臭名昭著的 Lazarus Group，这表明威胁行为者继续依赖这种特定的分发机制，唯一的区别是安装程序（“FCCCall.msi”）模仿 FreeConference.com 而不是 MiroTalk。

据信，虚假安装程序是从名为 freeconference[.] 的网站下载的。io，它使用与虚构的 mirotalk[.] 相同的注册商。net 网站。

“除了 LinkedIn，Lazarus 还在 WWR、Moonlight、Upwork 等其他求职平台上积极寻找潜在受害者，”安全研究员 Sharmine Low 说。

“在进行初步接触后，他们通常会尝试将对话转移到 Telegram 上，然后他们会要求潜在的受访者下载视频会议应用程序或 Node.js 项目，以执行技术任务，作为采访过程的一部分。”

有迹象表明该活动正在进行积极优化，已观察到威胁行为者将恶意 JavaScript 注入与加密货币和游戏相关的存储库。就其本身而言，JavaScript 代码旨在从域 ipcheck[.] 检索 BeaverTail Javascript 代码。Cloud 或 RegionCheck[.]网。

这里值得一提的是，软件供应链安全公司 Phylum 最近也强调了这种行为，与一个名为 helmet-validate 的 npm 包有关，这表明威胁行为者同时利用不同的传播向量。

另一个值得注意的变化是，BeaverTail 现在配置为从更多加密货币钱包扩展（如 Kaikas、Rabby、Argent X 和 Exodus Web3）中提取数据，此外还实现了使用 AnyDesk 建立持久性的功能。

这还不是全部。BeaverTail 的信息窃取功能现在通过一组 Python 脚本（统称为 CivetQ）实现，该脚本能够收集 Cookie、Web 浏览器数据、击键和剪贴板内容，并提供更多脚本。恶意软件共针对 74 个浏览器扩展。

“该恶意软件能够通过针对位于’%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite’的应用程序 SQLite 数据库文件来窃取 Microsoft Sticky Notes 中的数据，其中用户笔记以未加密的格式存储，”Low 说。

“通过从该数据库中查询和提取数据，恶意软件可以从受害者的 Sticky Notes 应用程序中检索和泄露敏感信息。”

CivetQ 的出现表明了一种模块化的方法，同时也强调了这些工具正在积极开发中，并且在过去几个月中一直在以小规模的方式不断发展。

“Lazarus 更新了他们的策略，升级了他们的工具，并找到了更好的方法来隐藏他们的活动，”Low 说。“他们没有表现出放松努力的迹象，他们针对求职者的运动一直持续到 2024 年，一直持续到今天。他们的攻击变得越来越有创意，现在他们正在将影响范围扩大到更多平台。

美国联邦调查局 （FBI） 警告称，朝鲜网络行为者使用“伪装良好”的社会工程攻击来促进加密货币盗窃，从而积极针对加密货币行业。

“朝鲜的社会工程计划复杂而复杂，经常以复杂的技术敏锐度损害受害者，”联邦调查局在周二发布的一份公告中表示，威胁行为者通过审查他们在专业网络或就业相关平台上的社交媒体活动来侦察潜在受害者。

“朝鲜恶意网络行为者团队确定了特定的 DeFi 或加密货币相关业务，并将其作为目标，并试图对数十名这些公司的员工进行社会工程改造，以获得对公司网络的未经授权的访问。”