InvisibleFerret является вредоносной программой-бэкдором, разработанной Lazarus Group, группировкой киберпреступников из Северной Кореи. Эта программа использует социальную инженерию для получения доступа к системам, притворяясь процессами найма на работу.
InvisibleFerret Backdoor
Она активно используется в целевых кампаниях, таких как «Contagious Interview» и «DevPopper», где злоумышленники выдают себя за рекрутеров, чтобы убедить жертв загрузить вредоносное ПО, которое выдается за легитимные разработческие задания, программы для конференций или пакеты зависимостей. Основной целью InvisibleFerret является скомпрометирование профессионалов в сфере технологий, финансов и криптовалют, с целью выведения у них интеллектуальной собственности, учётных данных и финансовых активов.
После инсталляции InvisibleFerret может осуществлять отслеживание геолокации, утечку файлов через FTP и Telegram-ботов, ключлоггинг и мониторинг буфера обмена. Он доставляется в качестве полезной нагрузки с помощью BeaverTail, загрузчика и похитителя на базе JavaScript, а также обменивается данными с серверами командного и контрольного центра (C2) посредством обфусцированного трафика, чтобы избежать обнаружения. Его адаптивная функциональность, широкий спектр применения и кроссплатформенность делают InvisibleFerret серьезной угрозой в области кибербезопасности. Анализы ANY.RUN показывают, что вредоносная программа использует слабо зашифрованные строки Base64 для сокрытия конфиденциальных данных и полагается на легитимные сервисы, такие как ip-api.com, для начальной разведки. Все эти особенности в сочетании с использованием известных библиотек Python для злонамеренных целей свидетельствуют о технической сложности и операционной сложности этой вредоносной программы.
Векторы атаки InvisibleFerret начинаются с приманки жертв на загрузку BeaverTail через фальшивые платформы трудоустройства. Затем вредоносная программа поставляется в виде модуля NPM или других зависимых пакетов. Далее BeaverTail загружает пакет времени выполнения Python (p.zip), содержащий InvisibleFerret. Чтобы связаться с серверами командного и контрольного центра (C2), InvisibleFerret использует необычные порты, такие как 1244 или 1245, и обменивается данными через стандартный User-Agent, используя библиотеку python-requests. Для эксфильтрации данных вредоносная программа использует ботов FTP и Telegram, чтобы скоммуницировать файлы и конфиденциальные данные. Особый интерес у InvisibleFerret вызывают браузерные расширения, связанные с криптовалютными кошельками и приложениями многофакторной аутентификации.
Indicators of Compromise
IPv4
- 147.124.214.129
- 173.211.106.101
URLs
- http://147.124.214.129:1244
- http://147.124.214.129:1244/keys
- http://147.124.214.129:1244/pdown
- http://173.211.106.101:1245
- http://173.211.106.101:1245/adc
- http://173.211.106.101:1245/bow
- http://173.211.106.101:1245/brow
SHA256
- 47830f7007b4317dc8ce1b16f3ae79f9f7e964db456c34e00473fba94bb713eb
- 6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0
