Замечена продолжающаяся кампания социальной инженерии, нацеленная на разработчиков программного обеспечения. Злоумышленники используют поддельные интервью для доставки программы удаленного доступа, известной как DevPopper, написанной на языке программирования Python.
DevPopper RAT
Компания Securonix сообщила о данной активности в начале этого года, а недавно представила обновленную информацию о развивающихся тактиках, техниках и процедурах (TTP) кампании DevPopper. Цели атаки в основном располагаются в Южной Корее, Северной Америке, Европе и на Ближнем Востоке. Специалисты Securonix предполагают, что эта кампания могла быть осуществлена северокорейскими хакерами, так как в прошлом подобные кампании исходили из Северной Кореи.
DevPopper использует многоступенчатую схему заражения на основе социальной инженерии. Злоумышленники выдают себя за работодателей, проводящих интервью с разработчиками программного обеспечения. В ходе фиктивного интервью кандидатам предлагается выполнить технические задания, такие как загрузка и запуск кода с площадки GitHub. Злоумышленники используют это, чтобы обманом заставить разработчиков установить вредоносное программное обеспечение, которое собирает информацию о системе и предоставляет удаленный доступ злоумышленникам.
Загружаемый файл представляет собой ZIP-архив, содержащий пакет NPM, с составляющими README-файлом, а также каталогами backend и frontend. При запуске пакета NPM запускается обфусцированный JavaScript-файл, который, используя команду 'curl' через Node.js, загружает другой архивный файл с сервера Command and Control (C2). Второй архивный файл содержит следующую стадию вредоносной программы - обфусцированный скрипт на языке программирования Python, который получил название DevPopper RAT.
DevPopper собирает информацию о системе, такую как тип операционной системы, имя хоста и сетевые данные, которую затем отправляет на сервер C2. Функциональность DevPopper включает создание сетей и сессий, кодирование данных, поддержание постоянных соединений для удаленного управления, выполнение удаленных команд, обнаружение файлов в файловой системе и их кражу, а также запись буфера обмена и логирование нажатых клавиш.
В последнем обновлении Securonix отмечено, что злоумышленники, ответственные за DevPopper, перестроились и усовершенствовали свои TTP. Теперь атаки происходят на устройствах под управлением Linux, Windows и MacOS. Было также добавлено дополнительное вредоносное ПО в рамках кампании. Новая версия DevPopper имеет расширенные возможности, такие как усовершенствованная функциональность FTP, возможность загрузки файлов на удаленные серверы с использованием шифрования, поддержка нескольких операционных систем, улучшенное кодирование и обфускацию, способ обхода каталогов, а также возможность кражи сохраненных учетных данных и файлов cookie из нескольких популярных веб-браузеров.
Indicators of Compromise
SHA256
- 2d10b48454537a8977affde99f6edcbb7cd6016d3683f9c28a4ec01b127f64d8
- 33617f0ac01a0f7fa5f64bd8edef737f678c44e677e4a2fb23c6b8a3bcd39fa2
- 63238b8d083553a8341bf6599d3d601fbf06708792642ad513b5e03d5e770e9b
- bc4a082e2b999d18ef2d7de1948b2bfd9758072f5945e08798f47827686621f2
