ФБР, CISA и Казначейство США впустили совестный документ по кибербезопасности, чтобы привлечь внимание к киберугрозе, связанной с кражей криптовалюты и тактикой, используемой группой Advanced Persistent Threat (APT). Эта группа обычно отслеживается в индустрии кибербезопасности как Lazarus Group, APT38, BlueNoroff и Stardust Chollima.
TraderTraitor APT
Правительство США выявило группу северокорейских злоумышленников, использующих тактику, аналогичную ранее выявленной Lazarus Group . Lazarus Group использовала троянские криптовалютные приложения AppleJeus, направленные на частных лиц и компании - в том числе криптовалютные биржи и компании финансовых услуг - посредством распространения приложений для торговли криптовалютой, которые были модифицированы для включения вредоносного ПО, способствующего краже криптовалюты. По состоянию на апрель 2022 года, субъекты северокорейской Lazarus Group атаковали различные фирмы, организации и биржи в сфере блокчейна и криптовалют, используя спирфишинговые кампании и вредоносное ПО для кражи криптовалюты. Эти субъекты, вероятно, продолжат использовать уязвимости компаний, занимающихся криптовалютными технологиями, игровых компаний и бирж для генерирования и отмывания средств в поддержку северокорейского режима.
Тактика, техника и процедуры
Вторжения начинаются с рассылки большого количества spearphishing-сообщений сотрудникам криптовалютных компаний - часто работающих в сфере системного администрирования или разработки программного обеспечения/IT-операций (DevOps) - на различных коммуникационных платформах. Сообщения часто имитируют набор персонала и предлагают высокооплачиваемую работу, чтобы побудить получателей загрузить криптовалютные приложения, зараженные вредоносным ПО, которое правительство США называет "TraderTraitor".
Термин TraderTraitor описывает серию вредоносных приложений, написанных с использованием кроссплатформенного кода JavaScript с использованием среды исполнения Node.js с применением фреймворка Electron. Вредоносные приложения взяты из различных проектов с открытым исходным кодом и выдают себя за инструменты для торговли криптовалютой или прогнозирования цен. В кампаниях TraderTraitor используются веб-сайты с современным дизайном, рекламирующие предполагаемые функции приложений.
Код JavaScript, обеспечивающий основные функции программного обеспечения, поставляется в комплекте с Webpack. В коде есть функция, которая выдает себя за "обновление", с именем UpdateCheckSync(), которая загружает и выполняет вредоносную полезную нагрузку.
Функция обновления выполняет HTTP POST-запрос к PHP-скрипту, размещенному на домене проекта TraderTraitor в конечной точке /update/ или /oath/checkupdate.php. В последних вариантах ответ сервера разбирается как документ JSON с парой ключ-значение, где ключ используется как ключ шифрования AES 256 в режиме Cipher Block Chaining (CBC) или Counter (CTR) для расшифровки значения. Расшифрованные данные записываются в виде файла во временный каталог системы, как это предусмотрено методом os.tmpdir() в Node.js, и выполняются с помощью метода child_process.exec() в Node.js, который порождает оболочку как дочерний процесс текущего приложения Electron. Текст "Обновление завершено" затем записывается в оболочку для просмотра пользователем.
Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, пользовательский троян удаленного доступа (RAT), который собирает системную информацию и имеет возможность выполнять произвольные команды и загружать дополнительные полезные нагрузки (см. северокорейский инструмент удаленного доступа: COPPERHEDGE). Деятельность после компрометации специально адаптируется к среде жертвы и иногда завершается в течение недели после первоначального вторжения.
Indicators of Compromise
IPv4
- 104.168.98.156
- 107.154.160.132
- 108.170.55.202
- 151.101.64.119
- 160.153.235.20
- 185.66.41.17
- 199.188.103.115
- 38.132.124.161
- 45.14.227.58
- 46.16.62.238
- 62.84.240.140
- 82.102.31.14
- 89.45.4.151
Domains
- aideck.net
- alticgo.com
- creaideck.com
- cryptais.com
- dafnefonseca.com
- dafom.dev
- esilet.com
- greenvideo.nl
- haciendadeclarevot.com
- infodigitalnew.com
- sche-eg.org
- tokenais.com
- www.vinoymas.ch
URLs
- https://aideck.net/board.php
- https://dafnefonseca.com/wp-content/themes/top.php
- https://github.com/dafomdev
- https://greenvideo.nl/wp-content/themes/top.php
- https://haciendadeclarevot.com/wp-content/top.php
- https://infodigitalnew.com/wp-content/plugins/top.php
- https://sche-eg.org/plugins/top.php
- https://www.alticgo.com/update/
- https://www.esilet.com/update/
- https://www.vinoymas.ch/wp-content/plugins/top.php
MD5
- 1c7d0ae1c4d2c0b70f75eab856327956
- 1ca31319721740ecb79f4b9ee74cd9b0
- 4e5ebbecd22c939f0edf1d16d68e8490
- 53d9af8829a9c7f6f177178885901c01
- 5d43baf1c9e9e3a939e5defd8f8fbd8d
- 8397ea747d2ab50da4f876a36d673272
- 855b2f4c910602f895ee3c94118e979a
- 930f6f729e5c4d5fb52189338e549e5e
- 9578c2be6437dcc8517e78a5de1fa975
- 9a6307362e3331459d350a201ad66cd9
- c2ea5011a91cd59d0396eb4fa8da7d21
SHA1
- 3f2c1e60b5fac4cf1013e3e1fc688be490d71a84
- 41f855b54bf3db621b340b7c59722fb493ba39a5
- 48a6d5141e25b6c63ad8da20b954b56afe589031
- 8e67006585e49f51db96604487138e688df732d3
- ae9f4e39c576555faadee136c6c3b2d358ad90b9
- b2d9ca7b6d1bbbe4864ea11dfca343b7e15597d8
- d2a77c31c3e169bec655068e96cf4e7fc52e77b8
- d5ff73c043f3bb75dd749636307500b60a436550
- f1606d4d374d7e2ba756bdd4df9b780748f6dc98
- f3263451f8988a9b02268f0fb6893f7c41b906d9
- ff17bd5abe9f4939918f27afbe0072c18df6db37
SHA256
- 5b40b73934c1583144f41d8463e227529fa7157e26e6012babd062e3fd7e0b03
- 60b3cfe2ec3100caf4afde734cfd5147f78acf58ab17d4480196831db4aa5f18
- 765a79d22330098884e0f7ce692d61c40dfcf288826342f33d976d8314cfd819
- 867c8b49d29ae1f6e4a7cd31b6fe7e278753a1ba03d4be338ed11fd1efc7dd36
- 89b5e248c222ebf2cb3b525d3650259e01cf7d8fff5e4aa15ccd7512b1e63957
- 8acd7c2708eb1119ba64699fd702ebd96c0d59a66cba5059f4e089f4b0914925
- 9ba02f8a985ec1a99ab7b78fa678f26c0273d91ae7cbe45b814e6775ec477598
- 9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa
- dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156
- e3d98cc4539068ce335f1240deb1d72a0b57b9ca5803254616ea4999b66703ad
- f0e8c29e3349d030a97f4a8673387c2e21858cccd1fb9ebbf9009b27743b2e5b