Специалисты SentinelLABS и Validin в ходе совместного расследования выявили активность северокорейских хакерских группировок, связанных с кампанией Contagious Interview, которые целенаправленно используют платформы киберразведки для мониторинга собственной инфраструктуры и поиска новых ресурсов. Угрозоискатели установили, что злоумышленники работают скоординированными командами, применяют методы социальной инженерии ClickFix и оперативно заменяют заблокированные ресурсы, что позволяет им сохранять высокий уровень вовлечения жертв.
Описание
В период с марта по июнь 2025 года эксперты зафиксировали активность хакеров на платформе Validin, где те изучали данные о своей инфраструктуре, опубликованные в открытых источниках. Первые регистрации аккаунтов произошли уже через сутки после публикации отчёта о инфраструктуре Lazarus - кластера APT, ассоциированного с КНДР. Для создания учётных записей использовались адреса Gmail, ранее связанные с кампанией Contagious Interview, а также IP-адреса, принадлежащие сервису Astrill VPN, популярному среди северокорейских хакеров.
Анализ показал, что злоумышленники действуют скоординированно, вероятно, используя платформу Slack для обмена данными в реальном времени. Они одновременно подключаются к нескольким источникам киберразведки, включая Validin, VirusTotal и открытые списки индикаторов компрометации проекта Maltrail. Это позволяет им оперативно получать информацию о публикациях, связанных с их операциями, и оценивать риски обнаружения.
Несмотря на тщательное изучение разведданных, хакеры не вносят системных изменений в свою инфраструктуру для снижения видимости. Вместо этого они сосредоточены на быстром развёртывании новых серверов и доменов взамен заблокированных. По данным лог-файлов, только за первые три месяца 2025 года было зафиксировано более 230 жертв, а реальное число пострадавших может быть значительно выше.
Эксперты предполагают, что такое поведение может быть связано с децентрализованной структурой управления и внутренней конкуренцией: операторы вносят точечные изменения в контролируемые ими активы, чтобы защитить собственные операции и выполнить установленные режимом годовые квоты по доходам. Кроме того, злоумышленники используют платформы киберразведки для оценки новых доменов перед их приобретением, чтобы избежать ресурсов, уже помеченных как вредоносные.
Важным элементом инфраструктуры Contagious Interview являются приложения ContagiousDrop, развёрнутые на серверах распространения вредоносного ПО. Эти инструменты не только доставляют вредоносные нагрузки, но и ведут детальный учёт действий жертв, а также уведомляют хакеров о взаимодействии с фишинговыми сайтами. Анализ лог-файлов показал, что большинство жертв работают в сфере криптовалют и блокчейна, преимущественно на должностях, связанных с маркетингом и финансами.
Специалисты подчёркивают, что ключевую роль в противодействии этим угрозам играют как сами соискатели, которым следует проявлять бдительность при взаимодействии с предложениями о работе, так и провайдеры инфраструктуры, способные оперативно блокировать вредоносные ресурсы. SentinelLABS и Validin продолжат совместную работу по выявлению и обмену актуальными разведданными для снижения эффективности кампаний северокорейских хакеров.
Индикаторы компрометации
IPv4
- 181.215.9.29
- 181.53.13.189
- 181.59.180.84
- 194.33.45.162
- 216.24.215.231
- 38.170.181.10
- 45.86.208.162
- 70.32.3.15
- 70.39.70.194
- 77.247.126.189
- 89.19.58.51
- 96.62.127.126
Domains
- api.camdriverhelp.club
- api.drive-release.cloud
- api.release-drivers.online
- careerquestion.com
- easyjobinterview.org
- evaluateiq.com
- glitchmedic.com
- hireassessment.com
- hirelytics360.com
- hiringassessment.com
- hiringassessment.net
- motionassess.com
- nvidia-release.us
- paxosassessments.com
- paxos-video-interview.com
- quickproassess.com
- quiz-nest.com
- robinhood.evalvidz.com
- screenquestion.org
- skillcheck.pro
- skillmasteryhub.us
- skillquestions.com
- skill-share.org
- talentcheck.pro
- versusx.us
- vidassesspro.com
- VidHireHub.com
- webcamfixer.online
- willotalent.us
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
SHA1
- 24042a8eea9b9c20af1f7bae00296b44968a068f
- 44ddabf5b5d601077936a130a2863a96d2af1c8e
- 4a8bfa28d46ae14e45a50e105e2d34f850ffa96c
