北韩骇客锁定线上求职者发动攻击的情况,最近2至3年不时有事故传出,其中专门针对开发人员而来的攻击行动Contagious Interview(也被称做Dev#Popper),引起多组研究人员关切,最近有了新的发现。
资安业者Group-IB指出,而对于这些骇客从事的攻击行动,究竟出现那些变化?首先,是原本他们主要透过职场社群网站LinkedIn寻找下手目标,但现在也经由其他求职网站进行,这些包括:WWR、Moonlight、Upwork。
一旦他们成功取得联系,就会试图改用Telegram进行后续交谈,然后再进一步要求面试者下载特定的视讯会议应用程式,或是Node.js专案,以便进行后续的面试流程。
研究人员提及,这些骇客原本主要关注与加密货币有关的储存库来引诱想要求职的专业人士,近期也使用类似的策略,将恶意JavaScript指令码注入与游戏有关的储存库,并以分析或调查为由,要求面试者下载恶意软体,但这次骇客的手法出现变化,他们开始以视讯会议软体为由引诱面试者上当。
根据骇客散布冒牌FreeConference应用程式的网站hxxp://freeconference[.]io进行调查,研究人员发现该网站SSL凭证是在8月2日签发,与另一个用来散布BeaverTail冒牌MiroTalk网站mirotalk[.]net,都是由相同的单位进行签章。
研究人员从7月下旬至8月中旬,总共看到3个打包成Windows安装档(FCCCall.msi)的BeaverTail,指出这些软体以跨平台开发框架Qt6打造而成,不久后他们也看到macOS版恶意程式。
一旦使用者启动视讯会议软体,电脑就会要求输入会议邀请码,但在此同时,恶意程式也在后台运作。
此恶意程式专门从浏览器及其延伸套件当中,挖掘各式帐密资料,得逞后下载Python执行档及下个阶段的有效酬载InvisibleFerret。
值得留意的是,骇客不只针对Windows、macOS开发BeaverTail,他们也打造威力更强大的Python版本,除具备前述窃取资料的功能,并能为攻击者部署AnyDesk供远端存取,骇客也为其开发外挂套件扩充其他功能。研究人员指出,他们看到尚未使用的新功能函数,研判骇客正积极开发该恶意程式。