Группа злоумышленников, известных по кампании DEV#POPPER, продолжает атаковать разработчиков с использованием новых вредоносных программ и тактик, которые теперь поддерживают Linux, Windows и macOS.
DEV#POPPER
Исследователи из Securonix Threat Research следят за этой группировкой и расследуют кампанию DEV#POPPER. Они обнаружили новые варианты вредоносного ПО, связанные с этими злоумышленниками, которые используют скрытую тактику выполнения вредоносного кода, но с более мощными возможностями.
Нет никаких явных тенденций в виктимологии, на основе собранной телеметрии. Однако анализ образцов показал, что жертвы преимущественно находятся в Южной Корее, Северной Америке, Европе и Ближнем Востоке, что свидетельствует о широком масштабе атак.
Как и в предыдущих атаках, новые вредоносные программы используют форму социальной инженерии, которая направлена на программистов. Это продвинутая форма манипуляции людьми с целью получить конфиденциальную информацию или заставить их совершить действия, которые они обычно не совершают. Целью злоумышленников является скомпрометировать пользователя или его рабочее место. В отличие от традиционных методов взлома, которые основаны на эксплуатации уязвимостей, злоумышленники вредят через уязвимости человеческой психологии, используя такие характеристики, как доверие, страх и желание быть полезным.
В данной статье подчеркивается стойкость и постоянное развитие этой угрозы, а также предоставляются обновленные стратегии и методы для борьбы с такими атаками.
В новых вариантах атаки используются Linux, Windows и macOS. Злоумышленники представляют себя сотрудниками, проводящими интервью для разработчиков, и предоставляют интервьюируемым пакет ZIP-файлов. При выполнении этих файлов скрытый JavaScript-код запускает цепочку заражения.
Вредоносный код трудно обнаружить, потому что он скрывается среди легитимного содержимого ZIP-файла. Он также обфусцирован, используя различные техники, чтобы затруднить его анализ.
После деобфускации скрипта становится понятно, что вредоносная программа имеет функциональность, которая может быть использована злоумышленниками. В коде также обнаруживается скрытый адрес Command and Control (C2).
С точки зрения обнаружения, данная атака имеет очень низкий процент обнаружения по данным VirusTotal, что делает ее особенно опасной.
Indicators of Compromise
IPv4
- 67.203.7.171
- 77.37.37.81
URLs
- http://de.ztec.store:8000
SHA256
- 0639d8eaad9df842d6f358831b0d4c654ec4d9ebec037ab5defa240060956925
- 2d10b48454537a8977affde99f6edcbb7cd6016d3683f9c28a4ec01b127f64d8
- 6263b94884726751bf4de6f1a4dc309fb19f29b53cce0d5ec521a6c0f5119264
- 63238b8d083553a8341bf6599d3d601fbf06708792642ad513b5e03d5e770e9b
- 7e5828382c9ef9cd7a643bc329154a37fe046346fd2cf4698da2b91050c9fe12
- b31f5bde1bdbc2dfd453b91bab2e9be0becec555ee6edd70744c77f2ad15d18c
- bc4a082e2b999d18ef2d7de1948b2bfd9758072f5945e08798f47827686621f2
- eff2a9fca46425063dca080466427353dc52ac225d9df7c1ef0ec8ba49109b71
