被针对的行业: 软件开发
执行摘要
观察到一场针对软件开发人员的持续社交工程活动。威胁行为者使用假面试来传递一种基于Python的远程访问木马(RAT),称为DevPopper。
关键要点
-
观察到一场针对软件开发人员的持续社交工程活动。 -
在活动中,威胁行为者使用假面试来传递一种基于Python的RAT,称为DevPopper。 -
近几个月来,DevPopper 背后的威胁行为者已经重新装备并发展了他们的战术、技术和程序(TTPs)。 -
新的DevPopper 变种具有增强的能力,并且可以针对Linux、Windows和MacOS设备。
DevPopper 是什么?
观察到一场针对软件开发人员的持续社交工程活动。威胁行为者使用假面试来传递一种基于Python的远程访问木马(RAT),称为DevPopper。Securonix 今年早些时候报告了这一活动,并最近提供了有关DevPopper 演变的TTPs的更新。受害者主要位于韩国、北美、欧洲和中东。根据Securonix,这场活动很可能是朝鲜威胁行为者所为,基于朝鲜发起的类似活动的历史。
DevPopper 使用多阶段感染链,依赖于社交工程。威胁行为者伪装成雇主,面试软件开发职位的候选人。在假面试过程中,目标被要求执行技术任务,例如从GitHub下载并运行代码。威胁行为者利用这一点诱使开发者安装可以收集系统信息并给予威胁行为者对受害者机器远程访问权限的恶意软件。
下载的文件是一个包含NPM包的ZIP,其中包含一个README文件以及后端和前端目录。当开发者运行NPM包时,会运行一个混淆的JavaScript文件,通过Node.js执行‘curl’命令从C2下载另一个归档文件。这第二个归档文件包括下一阶段的有效载荷,一个被称为DevPopper RAT的混淆Python脚本。
DevPopper 收集有关系统的信息,包括操作系统类型、主机名和网络数据,并将其发送到C2。DevPopper 的能力包括网络和会话创建、数据编码、提供持续远程控制的持久连接、搜索文件系统和窃取特定文件、远程命令执行(RCE)以部署额外的漏洞或恶意软件、剪贴板记录和键盘记录。
在最近的更新中,Securonix 指出DevPopper 背后的威胁行为者已经重新装备并发展了他们的TTPs。威胁行为者现在针对Linux、Windows和MacOS设备。他们还向活动中添加了额外的恶意软件变种。新的DevPopper 变种具有额外的能力,包括扩展的FTP功能、使用加密传输将文件上传到远程服务器的增强能力、支持多个操作系统、增强的编码和混淆、目录遍历以及从多个流行的浏览器中窃取存储的凭据和会话cookie的能力。
IOCs
PolySwarm 与此活动相关的多个样本。
33617f0ac01a0f7fa5f64bd8edef737f678c44e677e4a2fb23c6b8a3bcd39fa2
bc4a082e2b999d18ef2d7de1948b2bfd9758072f5945e08798f47827686621f2
63238b8d083553a8341bf6599d3d601fbf06708792642ad513b5e03d5e770e9b
2d10b48454537a8977affde99f6edcbb7cd6016d3683f9c28a4ec01b127f64d8
原文始发于微信公众号(独眼情报):又一起针对软件开发人员的社工活动
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论