近年来北韩骇客假借征才名义,透过LinkedIn等管道,锁定想要面试的开发人员下手,如今又出现新一波的攻击行动。
揭露此事的研究人员指出,这起攻击行动与过往最大的不同之处在于,骇客不光会假借测试求职者的能力为由散布恶意程式,现在也会要求使用特定视讯会议软体进行面试的名义,让求职者降低警觉,不慎让电脑中毒。
【攻击与威胁】
北韩骇客锁定线上求职者发动攻击的情况,最近2至3年不时有事故传出,其中专门针对开发人员而来的攻击行动Contagious Interview(也被称做Dev#Popper),引起多组研究人员关切,最近有了新的发现。
在8月中旬,资安业者Group-IB发现冒充视讯会议软体FreeConference的恶意程式,经过分析确认是北韩骇客组织Lazarus使用的BeaverTail。这些骇客假借征才的名义,诱骗求职者下载含有BeaverTail的Node.js档案,一旦依照指示执行,此恶意软体便会进一步于受害电脑载入Python后门程式InvisibleFerret,研究人员指出,这些骇客原本针对Windows电脑下手,但从今年7月开始,针对macOS开发的BeaverTail也出现相关攻击行动。
研究人员提及,这些骇客原本主要关注与加密货币有关的储存库来引诱想要求职的专业人士,近期也使用类似的策略,将恶意JavaScript指令码注入与游戏有关的储存库,并以分析或调查为由,要求面试者下载恶意软体,但这次骇客的手法出现变化,他们开始以视讯会议软体为由引诱面试者上当。
政治人物成为骇客下手的目标不时传出,但过往大部分攻击的目标集中在美国及欧洲地区,如今有骇客针对东南亚国家发动攻击。
资安业者Cyble发现使用恶意ISO映像档的攻击行动,主要目标是马来西亚政治人物及政府官员,此映像档内含伪装成PDF文件的LNK档案,以及恶意程式、PDF档案诱饵、PowerShell指令码,一旦使用者开启LNK档案,电脑就会被植入木马程式Babylon RAT。但究竟骇客如何散布ISO档,研究人员表示不清楚。
此木马程式专为监控及窃取资料打造,并具备侧录输入的按键、监控剪贴簿、挖掘密码,也能执行攻击者远端下达的命令。为了持续在受害电脑运作,骇客透过窜改机码的方式,确保该恶意软体在电脑重开机后能继续执行。
【漏洞与修补】
◆◆
今年5月资安业者Palo Alto Networks与IBM今年7月防毒软体业者卡巴斯基退出美国市场,将美国用户转给了当地不甚知名的资安软体供应商UltraAV,即将在本月启动移转。
这项消息的曝光,源于其中1名用户在Reddit张贴9月5日收到的通知。其内容提及,美国卡巴斯基用户未来可获得其合作伙伴UltraAV的网路安全防护。用户可在现有付费订阅下获取UltraAV防毒服务,包含VPN、密码管理、身份盗窃防护等服务。未来几天内,用户就会接到UltraAV通知,告知如何启用。
随后当地科技媒体也报导此事,根据Axios的报导,资安厂商Pango接手所有卡巴斯基美国用户,并提供他们UltraAV。PC Magazine报导指出,这项传闻已获得卡巴斯基证实。