Исследовательская группа Red Asgard опубликовала результаты продолжающегося расследования кампании Contagious Interview, которая ведется, по всей видимости, северокорейской группой Lazarus. Новые данные рисуют картину, значительно более тревожную, чем предполагалось изначально: вместо гипотетической ловушки обнаружена реальная оперативная инфраструктура, содержащая сотни тысяч конфиденциальных учетных данных, выложенных в открытом доступе.
Описание
Ранее специалисты склонялись к версии, что обнаруженная сеть командных серверов (C2) может быть контрразведывательной операцией или ловушкой. Однако дальнейший анализ полностью опроверг эту гипотезу. В ходе исследования удалось подтвердить операционный статус инфраструктуры, извлечь 241 764 украденных учетных данных, принадлежащих 857 жертвам из 90 стран, и обнаружить четвертое вредоносное семейство - программу удаленного доступа (RAT) на базе AnyDesk.
Ключевым моментом стало обнаружение уязвимых конечных точек на сервере 146.70.253[.]107:1224. Зловредное ПО, анализировавшееся ранее, само по себе содержало инструкции для отправки похищенных данных на эндпоинты "/uploadInfo" и "/uploadFile". Эти точки, не защищенные аутентификацией, возвращали данные по простому GET-запросу с указанием идентификатора кампании. Таким образом, не потребовалось эксплуатации уязвимостей или обхода защиты - протокол зловредной программы сам указал на место хранения добычи.
Запросы к различным идентификаторам кампаний выявили ошеломляющие масштабы. В частности, кампании под номерами 5346, 15 и 99 содержали данные о 857 скомпрометированных рабочих станциях. Каждая запись включала URL ресурса, логин и пароль в открытом виде, имя компьютера, временные метки и даже путь к архиву с полными данными браузера жертвы.
Среди украденных данных преобладают учетные записи разработчиков и фрилансеров, что подтверждает изначальный вектор атаки - фиктивные собеседования о работе на платформах Upwork и Fiverr. В похищенной базе найдены 4280 учетных записей Google, 2647 записей GitHub, а также логины и пароли от локальных серверов разработки (localhost:3000, localhost:5173), что является уникальным цифровым отпечатком активной рабочей станции программиста.
Особую тревогу вызывает наличие финансовых данных. В открытом доступе оказались учетные данные для традиционных банков, включая HDFC Bank и Bank of America, цифровых банков Revolut и Wise, платежных систем PayPal, Payoneer и Stripe, а также для 27 различных криптокошельков, включая MetaMask и Coinbase. Географическое распределение жертв с концентрацией в Южной Азии соответствует регионам, откуда набирается значительная часть удаленных разработчиков для аутсорсинга.
В ходе дальнейшего анализа был обнаружен новый компонент - скрипт на Python, развертывающий клиент AnyDesk на машине жертвы. Этот инструмент обеспечивает злоумышленникам устойчивый (persistence) удаленный доступ, перезаписывая конфигурацию AnyDesk жестко заданными учетными данными атакующих. Таким образом, даже после смены паролей на других сервисах, злоумышленники сохраняют полный контроль над системой. Были идентифицированы три варианта этого скрипта, связанные с разными идентификаторами кампаний.
Исследователям также удалось частично проникнуть в операторскую панель управления. Эндпоинты "/info", "/allinfo" и "/dumpsql", доступные только на одном сервере, не проверяли права доступа. Уязвимость неправильного контроля доступа (IDOR) на эндпоинте "/allinfo" позволила выгружать данные целых кампаний без какой-либо аутентификации. В результате перечисления были обнаружены шесть учетных записей операторов, включая идентификаторы, похожие на личные позывные.
Отдельным техническим достижением стала расшифровка бинарного протокола, используемого на портах 22411-22413. Шифрование, основанное на XOR с ключами, производными от ранее обнаруженных, оказалось несложным. Расшифрованные данные содержали 6208 строк журналов маячков (beacon) операторов за шестидневный период, демонстрирующих автоматическое планирование сессий с использованием процессов с фиксированными идентификаторами. Это подтвердило, что инфраструктура активно использовалась вплоть до недавнего времени.
Итог расследования ставит точку в споре о природе инфраструктуры. Выявленное противоречие между безупречно защищенными фронтенд-серверами для сбора данных и уязвимой бэкенд-панелью управления можно объяснить разными стандартами работы команд или осознанным приоритизацией защиты только внешне направленных компонентов. Однако подлинность данных не вызывает сомнений: фальсификация почти четверти миллиона записей с внутренне согласованными метками времени, геоданными и уникальными артефактами активных станций разработки потребовала бы усилий, превышающих простое похищение реальной информации. Кампания Contagious Interview оказалась не ловушкой, а масштабной и успешной операцией по краже цифровых идентичностей разработчиков по всему миру.
Индикаторы компрометации
IPv4
- 144.172.101.45
- 144.172.104.117
- 146.70.253.107
- 147.124.212.125
- 147.124.213.232
- 147.124.214.129
- 172.86.105.40
- 172.86.116.178
- 216.250.251.87
- 45.59.163.55
- 66.235.168.238
- 86.106.85.234
- 87.236.177.9
- 95.164.17.24
