导 读
据观察,与朝鲜有联系的威胁组织将目标锁定在科技行业的求职者身上,伺机部署已知恶意软件家族(BeaverTail 和 InvisibleFerret)的更新版本。
该活动集群被追踪为 CL-STA-0240,是Palo Alto Networks Unit 42团队于 2023 年 11 月首次披露的名为“Contagious Interview(传染性访谈)”攻击活动的一部分。
Unit 42在一份新报告中表示:“CL-STA-0240 背后的威胁组织通过求职平台联系软件开发人员,冒充潜在雇主。”
X 上的虚假招聘人员“Onder Kayabasi”
“攻击者邀请受害者参加在线会议面试,威胁组织试图说服受害者下载并安装恶意软件。”
感染的第一阶段涉及 BeaverTail 下载程序和信息窃取程序,该程序专为 Windows 和 Apple macOS 平台而设计。该恶意软件充当基于 Python 的 InvisibleFerret 后门的管道。
有证据表明,尽管已被公开披露,但该活动仍然活跃,这表明该行动背后的威胁组织通过以编程任务为借口诱使开发人员执行恶意代码,继续获得成功。
安全研究员 Patrick Wardle 和网络安全公司 Group-IB 在最近的两次分析中详细介绍了一条攻击链,该攻击链利用冒充 MiroTalk 和 FreeConference.com 的假 Windows 和 maCOS 视频会议应用程序,通过 BeaverTail 和 InvisibleFerret 渗透到开发人员系统中。
值得注意的是,该虚假应用程序是使用 Qt 开发的,它支持 Windows 和 macOS 的交叉编译。基于 Qt 的 BeaverTail 版本能够窃取浏览器密码并从多个加密货币钱包中收集数据。
BeaverTail 除了将数据泄露到对手控制的服务器之外,还能够下载并执行 InvisibleFerret 后门,该后门包含两个组件:
-
主要有效载荷可对受感染主机进行指纹识别、远程控制、键盘记录、数据泄露以及下载 AnyDesk
-
收集浏览器凭据和信用卡信息的浏览器窃取程序
“朝鲜威胁组织会进行金融犯罪,以筹集资金。”Unit 42 表示。“这次活动可能出于经济动机,因为 BeaverTail 恶意软件能够窃取 13 个不同的加密货币钱包。”
技术报告:https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/
新闻链接:
https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
网络间谍GoldenJackal瞄准欧洲政府组织的隔离网络系统
https://www.securityweek.com/cyberspies-target-air-gapped-systems-at-european-government-organization/
CISA 和 FBI 警告政治竞选活动谨防伊朗网络钓鱼攻击
https://www.securityweek.com/us-agencies-warn-political-campaigns-of-iranian-phishing-attacks/
朝鲜黑客利用虚假招聘在线面试感染跨平台恶意软件
https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html
一般威胁事件
General Threat Incidents
亲乌克兰黑客组织声称对近期俄罗斯安全厂商 Dr.Web 的网络攻击负责
https://www.bleepingcomputer.com/news/security/recent-drweb-breach-claimed-by-dumpforums-pro-ukrainian-hacktivists/
互联网档案馆Wayback Machine遭黑客攻击,数据泄露影响 3100 万用户
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
加密货币窃取恶意软件活动感染了俄罗斯、乌克兰、土耳其等地 28,000 人
https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/
日本电子巨头卡西欧遭受网络攻击
https://www.securityweek.com/casio-hit-by-cyberattack/
游戏玩家被虚假作弊脚本引擎诱骗下载基于 Lua 的恶意软件
https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html
针对全球汇款服务提供商 MoneyGram 的攻击暴露了大量敏感客户数据
https://www.cybersecuritydive.com/news/moneygram-cyberattack-sensitive-data/729342/
漏洞事件
Vulnerability Incidents
CISA 称关键的 Fortinet RCE 漏洞现已被利用于攻击
https://www.bleepingcomputer.com/news/security/cisa-says-critical-fortinet-rce-flaw-now-exploited-in-attacks/
Mozilla 修复 Firefox 0day漏洞
https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
Palo Alto 修补关键防火墙接管漏洞
https://www.securityweek.com/palo-alto-patches-critical-firewall-takeover-vulnerabilities/
macOS Sequoia 和 iOS 18 中的 iPhone Mirroring 功能可能会将员工的私人应用程序暴露给企业 IT 环境
https://www.securityweek.com/iphone-mirroring-exposes-employees-personal-applications/
Ivanti 警告客户,更多 CSA 零日漏洞正被用于攻击
https://www.securityweek.com/ivanti-warns-customers-of-more-csa-zero-days-exploited-in-attacks/
ICS 补丁日:西门子、施耐德、菲尼克斯电气、CERT@VDE 发布安全公告
https://www.securityweek.com/ics-patch-tuesday-advisories-published-by-siemens-schneider-phoenix-contact-certvde/
研究人员发现工业 MMS 协议库中存在重大安全漏洞
https://thehackernews.com/2024/10/researchers-uncover-major-security.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客利用虚假在线面试针对求职码农
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论