Киберпреступники из северокорейской группировки Lazarus Group продолжают совершенствовать свои атаки, внедряя новую вредоносную программу-бэкдор под названием InvisibleFerret. Этот инструмент активно используется в целевых кампаниях, таких как «Contagious Interview» и «DevPopper», где злоумышленники маскируются под рекрутеров, чтобы обманом заставить жертв загрузить вредоносное ПО. Вредоносная программа представляет собой изощренный инструмент для кражи данных, нацеленный на специалистов в сфере IT, финансов и криптовалют.
Описание
Основной вектор атаки InvisibleFerret базируется на социальной инженерии. Злоумышленники создают фиктивные вакансии, предлагая потенциальным жертвам выполнить тестовые задания или загрузить «необходимые» для трудоустройства пакеты программного обеспечения. На самом деле эти файлы содержат вредоносные компоненты, способные полностью скомпрометировать систему. После заражения бэкдор получает доступ к широкому спектру данных, включая интеллектуальную собственность, учетные записи, финансовые активы и даже персональную информацию.
InvisibleFerret обладает множеством опасных функций. Среди них – мониторинг буфера обмена, перехват ввода с клавиатуры (кейлоггинг), утечка файлов через FTP и Telegram-ботов, а также отслеживание геолокации. Для доставки вредоносного кода используется загрузчик BeaverTail, работающий на JavaScript. Он загружает InvisibleFerret в виде пакета Python (p.zip), который затем активируется на зараженной машине. Для связи с серверами командного центра (C2) бэкдор использует обфусцированный трафик, маскируя свою активность под легитимные запросы.
Особую опасность представляет адаптивность InvisibleFerret. Он способен работать на разных платформах и обходить стандартные средства защиты. Например, вредоносная программа применяет слабо зашифрованные строки Base64 для сокрытия данных, проверяет IP-адреса через сервис ip-api.com и использует публичные библиотеки Python в злонамеренных целях. Все это усложняет его обнаружение и анализ.
Исследования компании ANY.RUN показывают, что InvisibleFerret активно эксплуатирует известные сервисы и протоколы. Например, он может передавать данные через нестандартные порты (1244, 1245) и взаимодействовать с серверами C2 через стандартные HTTP-запросы с использованием библиотеки python-requests. Кроме того, бэкдор целенаправленно ищет браузерные расширения, связанные с криптовалютными кошельками и двухфакторной аутентификацией, что делает его серьезной угрозой для индустрии цифровых активов.
Эксперты по кибербезопасности рекомендуют компаниям и частным пользователям соблюдать осторожность при общении с незнакомыми рекрутерами, особенно если они предлагают загрузить какие-либо файлы. Важно проверять источники пакетов зависимостей и избегать запуска подозрительных программ. В случае подозрений на заражение следует немедленно обратиться к специалистам по информационной безопасности.
InvisibleFerret демонстрирует, что Lazarus Group продолжает совершенствовать свои атаки, делая их более изощренными и труднообнаруживаемыми. Это подчеркивает необходимость постоянного обновления средств защиты и повышения осведомленности пользователей о современных киберугрозах.
Индикаторы компрометации
IPv4
- 147.124.214.129
- 173.211.106.101
URLs
- http://147.124.214.129:1244
- http://147.124.214.129:1244/keys
- http://147.124.214.129:1244/pdown
- http://173.211.106.101:1245
- http://173.211.106.101:1245/adc
- http://173.211.106.101:1245/bow
- http://173.211.106.101:1245/brow
SHA256
- 47830f7007b4317dc8ce1b16f3ae79f9f7e964db456c34e00473fba94bb713eb
- 6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0
