«Cisco Talos» va «Google Threat Intelligence Group» tashkilotlari tomonidan olingan yangi ma’lumotlarga ko’ra, Shimoliy Koreya bilan bog’liq tahdidlar markazsizlashtirilgan va qochib qutulish qiyin bo’lgan zararli dasturlarni qo’llab, kiber operatsiyalarini kuchaytirmoqda.
Ushbu kampaniyalar kriptovalyutalarni o’g’irlash, tarmoqlarga kirib olish va murakkab ishga yollash firibgarliklari orqali aniqlanishdan qochishga qaratilgan.
Zararli dasturlar texnikasining rivojlanishi kengayib borayotgan imkoniyatlarni aks ettiradi
«Cisco Talos» tadqiqotchilari Shimoliy Koreyaning «Famous Chollima» guruhi tomonidan olib borilayotgan kampaniyani aniqladilar. Ushbu guruh BeaverTail va OtterCookie nomli ikki turdagi zararli dasturlarni qo’llagan. An’anaviy ravishda ushbu dasturlar ma’lumotlarni o’g’irlash va ma’lumotlarni chiqarib olish uchun ishlatilgan bo’lsa-da, endi ular yangi funksiyalarni qo’shib, bir-biri bilan yaqinroq ishlashga moslashgan.
Yaqinda Shri-Lankada bir tashkilot bilan bog’liq voqeada, hujumchilar ish izlovchini texnik baholashning bir qismi sifatida ko’rsatilgan zararli kodni o’rnatishga jalb qilishdi. Tashkilotning o’zi to’g’ridan-to’g’ri nishon bo’lmagan bo’lsa-da, «Cisco Talos» tahlilchilari OtterCookie bilan bog’liq klavishlarni yozib olish va ekran tasvirlarini olish moduli mavjudligini ham kuzatdilar. Bu modul klavishlarni yashirincha yozib, ish stoli tasvirlarini olib, ularni avtomatik ravishda masofaviy buyruq serveriga yuboradi.
Bu kuzatuv Shimoliy Koreya bilan bog’liq tahdid guruhlarining rivojlanishini va ularning ijtimoiy muhandislik usullariga e’tiborini ko’rsatadi.
Blokcheyn boshqaruv infratuzilmasi sifatida qo’llaniladi
«Google Threat Intelligence Group» (GTIG) tashkiloti Shimoliy Koreya bilan bog’liq UNC5342 aktori tomonidan olib borilgan operatsiyani aniqladi. Ushbu guruh EtherHiding nomli yangi zararli dasturdan foydalangan. Bu vosita zararli JavaScript yuklamalarini ommaviy blokcheynda yashiradi va uni markazsizlashtirilgan buyruq va boshqaruv (C2) tarmog’iga aylantiradi.
Blokcheynni qo’llash orqali hujumchilar an’anaviy serverlarsiz zararli dastur xatti-harakatlarini masofadan o’zgartirishlari mumkin. Huquqni muhofaza qilish organlari tomonidan olib tashlash juda qiyinlashadi. Bundan tashqari, GTIG UNC5342 EtherHidingni «Palo Alto Networks» tomonidan ilgari aniqlangan «Contagious Interview» ijtimoiy muhandislik kampaniyasida qo’llaganini xabar qildi, bu Shimoliy Koreya bilan bog’liq tahdid aktorlarining qat’iyatini ko’rsatadi.
Ish qidiruvchilarni nishonga olib, kriptovalyuta va ma’lumotlarni o’g’irlash
«Google» tadqiqotchilariga ko’ra, ushbu kiber operatsiyalar odatda kriptovalyuta va kiberxavfsizlik sohalaridagi mutaxassislarga qaratilgan soxta ish e’lonlari bilan boshlanadi. Jabrlanuvchilar soxta baholashlarda ishtirok etishga taklif qilinadi, bu jarayonda ularga zararli kod bilan birga fayllarni yuklab olish ko’rsatmasi beriladi.
Infeksiya jarayoni ko’pincha bir nechta zararli dastur oilalarini, jumladan JadeSnow, BeaverTail va InvisibleFerretni o’z ichiga oladi. Ular birgalikda hujumchilarga tizimlarga kirish, ma’lumotlarni o’g’irlash va samarali tarzda ransomware dasturlarini joylashtirish imkonini beradi. Yakuniy maqsadlar josuslik va moliyaviy o’g’irlikdan tortib, uzoq muddatli tarmoq infiltratsiyasigacha bo’lishi mumkin.
«Cisco» va «Google» tashkilotlari Shimoliy Koreya bilan bog’liq kiber tahdidlarni aniqlash va ularga javob berishda yordam berish uchun buzilish indikatorlarini (IOCs) e’lon qildilar. Ushbu resurslar zararli faoliyatni aniqlash va potentsial buzilishlarni bartaraf etish uchun texnik tafsilotlarni taqdim etadi. Tadqiqotchilar blokcheyn va modulli zararli dasturlarni integratsiyasi global kiberxavfsizlik mudofaa sa’y-harakatlarini murakkablashtirishda davom etishini ogohlantiradilar.