Злонамјерни софтвер „ИнвисиблеФеррет“ напада уз помоћ тактике социјалног инжењеринга – лажни интервју за посао

Забиљежени су све чешћи сајбер напади из Сјеверне Кореје међу којима је и детектовани напад уз помоћ лажних интервјуа за посао, којом приликом су пласирани малвери ИнвисиблеФеррет и БеаверТаил са циљем да компромитују системе и ексфилтрирају осјетљиве податке. Ова малициозна кампања позната под називом „Заразни интервју“ (Цонтагиоус Интервиеw) представљала је софистицирану сајбер операцију коју је извела сјевернокорејска хакерска група Лазарус. Ова кампања је циљала професионалце у индустрији криптовалута и блоцкцхаин технологије, користећи лажне понуде за посао као мамац. Кључни елементи кампање били су:

• Лажне понуде за посао: Хакери контактирају стручњаке путем професионалних мрежа попут ЛинкедИн-а представљајући се као регрутери реномираних компанија у сектору криптовалута.
• Заражени фајлови: Као дио процеса „запошљавања“ жртвама су слати документи везани за наводне интервјуе или описе послова, а ови документи су садржали малвер који би се активирао приликом отварања.
• Крађа података: Након инфекције, малвер је омогућавао хакерима да приступе рачунарима жртава омогућавајући крађу осјетљивих података укључујући приватне кључеве за криптовалуте и друге повјерљиве информације.

Ова кампања била је посебно опасна због своје циљаности и коришћења социјалног инжењеринга што је повећавало вјероватноћу успјеха напада. Стручњаци за безбједност савјетују професионалце у индустрији криптовалута да буду опрезни приликом комуникације са непознатим регрутерима и да пажљиво провјеравају аутентичност понуда за посао. Кључне карактеристике ИнвисиблеФеррет малвера:

• Бацкдоор написан у програмском језику Пyтхон што му омогућава да буде компатибилан са више оперативних система укључујући Windows, Linux и МацОС.
• Омогућава нападачима да преузму потпуну контролу над зараженим системом, укључујући извршавање команди, крађу података и инсталацију додатног малициозног софтвера.
• Често се испоручује преко другог малвера названог БеаверТаил који служи као лоадер за ИнвисиблеФеррет, а конекција се успоставља најчешће преко неуобичајених портова као што су 1244 и 1245 у циљу ексфилтрације података.

Ова кампања баца свјетло на све већи тренд сајбер шпијунаже, циљајући на индустрије високо вриједне интелектуалне својине или финансијске имовине. Како би компромитација била избјегнута, стручњаци указују на сљедеће препоруке:

• Увијек провјерити аутентичност понуда за посао и од кога долазе
• Избјегавати покретање непознатих софтвера, посебно на корпоративним системима
• Користити робусну ендпоинт заштиту, сендбокс и мултифакторску аутентификацију у циљу ублажавања ризика.
• Обучити запослене да препознају пхисхинг и тактике социјалног инжењеринга.

Истраживачи су идентификовали и сљедеће ИОЦ-е (Индицаторс оф Цомпромисе) повезане са овом кампањом:

·        СХА256 хешови:

47830ф7007б4317дц8це1б16ф3ае79ф9ф7е964дб456ц34е00473фба94бб713еб

6а104ф07аб6ц5711б6бц8бф6фф956аб8цд597а388002а966е980ц5ец9678б5б0

·        ИП адресе:

147[.]124[.]214[.]129

173[.]211[.]106[.]101

·        УРЛ-ови:

хттп://147[.]124[.]214[.]129:1244

хттп://173[.]211[.]106[.]101:1245

Извор: хттпс://www.линкедин.цом/пулсе/инвисиблеферрет-малwаре-аттацкинг-windows-усерс-тхроугх-м8ј0ц/