Zlonamjerni softver „InvisibleFerret“ napada uz pomoć taktike socijalnog inženjeringa – lažni intervju za posao

Zabilježeni su sve češći sajber napadi iz Sjeverne Koreje među kojima je i detektovani napad uz pomoć lažnih intervjua za posao, kojom prilikom su plasirani malveri InvisibleFerret i BeaverTail sa ciljem da kompromituju sisteme i eksfiltriraju osjetljive podatke. Ova maliciozna kampanja poznata pod nazivom „Zarazni intervju“ (Contagious Interview) predstavljala je sofisticiranu sajber operaciju koju je izvela sjevernokorejska hakerska grupa Lazarus. Ova kampanja je ciljala profesionalce u industriji kriptovaluta i blockchain tehnologije, koristeći lažne ponude za posao kao mamac. Ključni elementi kampanje bili su:

• Lažne ponude za posao: Hakeri kontaktiraju stručnjake putem profesionalnih mreža poput LinkedIn-a predstavljajući se kao regruteri renomiranih kompanija u sektoru kriptovaluta.
• Zaraženi fajlovi: Kao dio procesa „zapošljavanja“ žrtvama su slati dokumenti vezani za navodne intervjue ili opise poslova, a ovi dokumenti su sadržali malver koji bi se aktivirao prilikom otvaranja.
• Krađa podataka: Nakon infekcije, malver je omogućavao hakerima da pristupe računarima žrtava omogućavajući krađu osjetljivih podataka uključujući privatne ključeve za kriptovalute i druge povjerljive informacije.

Ova kampanja bila je posebno opasna zbog svoje ciljanosti i korišćenja socijalnog inženjeringa što je povećavalo vjerovatnoću uspjeha napada. Stručnjaci za bezbjednost savjetuju profesionalce u industriji kriptovaluta da budu oprezni prilikom komunikacije sa nepoznatim regruterima i da pažljivo provjeravaju autentičnost ponuda za posao. Ključne karakteristike InvisibleFerret malvera:

• Backdoor napisan u programskom jeziku Python što mu omogućava da bude kompatibilan sa više operativnih sistema uključujući Windows, Linux i MacOS.
• Omogućava napadačima da preuzmu potpunu kontrolu nad zaraženim sistemom, uključujući izvršavanje komandi, krađu podataka i instalaciju dodatnog malicioznog softvera.
• Često se isporučuje preko drugog malvera nazvanog BeaverTail koji služi kao loader za InvisibleFerret, a konekcija se uspostavlja najčešće preko neuobičajenih portova kao što su 1244 i 1245 u cilju eksfiltracije podataka.

Ova kampanja baca svjetlo na sve veći trend sajber špijunaže, ciljajući na industrije visoko vrijedne intelektualne svojine ili finansijske imovine. Kako bi kompromitacija bila izbjegnuta, stručnjaci ukazuju na sljedeće preporuke:

• Uvijek provjeriti autentičnost ponuda za posao i od koga dolaze
• Izbjegavati pokretanje nepoznatih softvera, posebno na korporativnim sistemima
• Koristiti robusnu endpoint zaštitu, sendboks i multifaktorsku autentifikaciju u cilju ublažavanja rizika.
• Obučiti zaposlene da prepoznaju phishing i taktike socijalnog inženjeringa.

Istraživači su identifikovali i sljedeće IOC-e (Indicators of Compromise) povezane sa ovom kampanjom:

·        SHA256 hešovi:

47830f7007b4317dc8ce1b16f3ae79f9f7e964db456c34e00473fba94bb713eb

6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0

·        IP adrese:

147[.]124[.]214[.]129

173[.]211[.]106[.]101

·        URL-ovi:

http://147[.]124[.]214[.]129:1244

http://173[.]211[.]106[.]101:1245

Izvor: https://www.linkedin.com/pulse/invisibleferret-malware-attacking-windows-users-through-m8j0c/