- 27,154
- 46
- 8 Ноя 2022
Те же клавиши, тот же кошелёк, но уже не поймать.
Северокорейская группировка Void Dokkaebi изменила способ, как доставляют вредоносную программу InvisibleFerret, чтобы труднее попадаться средствам защиты. Теперь вредоносный код больше не распространяют как обычные сценарии Python, которые можно быстро проверить по тексту. Злоумышленники перевели его в скомпилированные модули, из-за чего старые правила поиска могут не сработать.
Void Dokkaebi, также известная как Famous Chollima, давно атакует разработчиков программного обеспечения. Группировка выдаёт себя за рекрутеров из компаний, связанных с криптовалютами и искусственным интеллектом, а затем предлагает жертвам скачать и запустить код якобы в рамках собеседования. Такой подход особенно опасен для разработчиков , у которых есть доступ к криптокошелькам, ключам подписи, системам сборки и рабочей инфраструктуре компаний.
Специалисты TrendAI Research выяснили , что InvisibleFerret теперь обфусцируют с помощью Cython. Этот инструмент переводит код Python в код на C или C++, а затем компилирует его в машинные файлы. В Windows вредоносная программа распространяется как файлы .pyd, а в macOS как файлы .so. Такие модули не запускаются сами по себе, поэтому цепочка заражения создаёт отдельный сценарий Python, который загружает и выполняет вредоносный модуль.
Главная проблема для защитников в том, что проверять только сценарии Python уже не помогает. Адреса управляющих серверов и порты иногда можно извлечь из скомпилированных файлов, но часть данных передаётся во время запуска через отдельный сценарий. Без него определить реальный сервер управления бывает невозможно.
Изменился и другой компонент кампании, BeaverTail. Раньше он в основном крал данные и загружал InvisibleFerret, а теперь получил функции, которые частично повторяют возможности InvisibleFerret. BeaverTail умеет собирать данные из браузеров, похищать сведения, связанные с криптокошельками, загружать дополнительные модули и устанавливать поддельные расширения для браузеров.
InvisibleFerret сохраняет прежние опасные функции. Вредоносная программа может открывать удалённый доступ, красть учётные данные из браузеров, следить за буфером обмена, записывать нажатия клавиш и искать данные криптовалютных кошельков. Отдельный модуль на macOS устанавливает подменённые расширения для Chrome и Brave Browser, включая <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask, Coinbase Wallet и Phantom.
Для работы поддельных расширений злоумышленники даже понижают версию Chrome на macOS. Так они пытаются обойти переход Google на новый стандарт расширений Manifest V3, который ограничивает возможности, нужные для того, чтобы вмешиваться в работу криптокошельков. Старые версии браузера с поддержкой Manifest V2 дают атакующим больше пространства для манипуляций.
Несмотря на переход к скомпилированным модулям, InvisibleFerret не стал полностью невидимым. В файлах остаются следы сборки, названия модулей, строки, пути из среды разработки и другие артефакты. По ним можно восстанавливать часть внутренней структуры, находить варианты вредоносной программы и извлекать данные об инфраструктуре атакующих.
Специалисты также считают, что переход на Cython ещё не завершён. В одном из компонентов остались недописанные части и старый код, из-за чего выполнение может завершаться с ошибкой. Это говорит о том, что Void Dokkaebi продолжает дорабатывать связку BeaverTail и InvisibleFerret.
Организациям, где разработчики работают с криптовалютными сервисами, ключами подписи, системами сборки и производственной инфраструктурой, теперь нужно учитывать не только сценарии Python, но и скомпилированные расширения Python. Отдельного внимания требуют подозрительные файлы .pyd и .so, временные сценарии запуска, когда вмешиваются в расширения браузера, и попытки понизить версию Chrome.
Северокорейская группировка Void Dokkaebi изменила способ, как доставляют вредоносную программу InvisibleFerret, чтобы труднее попадаться средствам защиты. Теперь вредоносный код больше не распространяют как обычные сценарии Python, которые можно быстро проверить по тексту. Злоумышленники перевели его в скомпилированные модули, из-за чего старые правила поиска могут не сработать.
Void Dokkaebi, также известная как Famous Chollima, давно атакует разработчиков программного обеспечения. Группировка выдаёт себя за рекрутеров из компаний, связанных с криптовалютами и искусственным интеллектом, а затем предлагает жертвам скачать и запустить код якобы в рамках собеседования. Такой подход особенно опасен для разработчиков , у которых есть доступ к криптокошелькам, ключам подписи, системам сборки и рабочей инфраструктуре компаний.
Специалисты TrendAI Research выяснили , что InvisibleFerret теперь обфусцируют с помощью Cython. Этот инструмент переводит код Python в код на C или C++, а затем компилирует его в машинные файлы. В Windows вредоносная программа распространяется как файлы .pyd, а в macOS как файлы .so. Такие модули не запускаются сами по себе, поэтому цепочка заражения создаёт отдельный сценарий Python, который загружает и выполняет вредоносный модуль.
Главная проблема для защитников в том, что проверять только сценарии Python уже не помогает. Адреса управляющих серверов и порты иногда можно извлечь из скомпилированных файлов, но часть данных передаётся во время запуска через отдельный сценарий. Без него определить реальный сервер управления бывает невозможно.
Изменился и другой компонент кампании, BeaverTail. Раньше он в основном крал данные и загружал InvisibleFerret, а теперь получил функции, которые частично повторяют возможности InvisibleFerret. BeaverTail умеет собирать данные из браузеров, похищать сведения, связанные с криптокошельками, загружать дополнительные модули и устанавливать поддельные расширения для браузеров.
InvisibleFerret сохраняет прежние опасные функции. Вредоносная программа может открывать удалённый доступ, красть учётные данные из браузеров, следить за буфером обмена, записывать нажатия клавиш и искать данные криптовалютных кошельков. Отдельный модуль на macOS устанавливает подменённые расширения для Chrome и Brave Browser, включая <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask, Coinbase Wallet и Phantom.
Для работы поддельных расширений злоумышленники даже понижают версию Chrome на macOS. Так они пытаются обойти переход Google на новый стандарт расширений Manifest V3, который ограничивает возможности, нужные для того, чтобы вмешиваться в работу криптокошельков. Старые версии браузера с поддержкой Manifest V2 дают атакующим больше пространства для манипуляций.
Несмотря на переход к скомпилированным модулям, InvisibleFerret не стал полностью невидимым. В файлах остаются следы сборки, названия модулей, строки, пути из среды разработки и другие артефакты. По ним можно восстанавливать часть внутренней структуры, находить варианты вредоносной программы и извлекать данные об инфраструктуре атакующих.
Специалисты также считают, что переход на Cython ещё не завершён. В одном из компонентов остались недописанные части и старый код, из-за чего выполнение может завершаться с ошибкой. Это говорит о том, что Void Dokkaebi продолжает дорабатывать связку BeaverTail и InvisibleFerret.
Организациям, где разработчики работают с криптовалютными сервисами, ключами подписи, системами сборки и производственной инфраструктурой, теперь нужно учитывать не только сценарии Python, но и скомпилированные расширения Python. Отдельного внимания требуют подозрительные файлы .pyd и .so, временные сценарии запуска, когда вмешиваются в расширения браузера, и попытки понизить версию Chrome.
- Источник новости
- www.securitylab.ru
