4月底資安業者Securonix揭露北韓駭客發起的Dev#Popper攻擊行動,攻擊者假借徵才的名義,尋找開發人員下手,事隔3個月,他們發現這些駭客的手法變得更加刁鑽,攻擊的範圍橫跨多種作業系統。
而對於這些駭客啟動攻擊鏈的方式,研究人員指出,一旦面試者取得對方提供的ZIP壓縮檔,下達npm install及npm start的命令部署NPM套件,埋藏其中的JavaScript程式碼就會執行,啟動感染鏈。雖然攻擊流程大致相同,但這次不光針對Windows電腦,也鎖定Linux及macOS作業系統,顯然影響範圍擴大。
駭客並未挑選特定的目標進行攻擊,但Securonix看到韓國、北美、歐洲、中東地區都有人受害,顯示這波行動影響的國家區域不少。
關於能夠攻擊開發人員電腦的ZIP檔案,內含的檔案總共有數十個,大部分都無害,僅JavaScript檔案裡的惡意程式碼具有攻擊意圖。研究人員特別提及,攻擊者在惡意程式碼前方加入大量空白而難以透過肉眼察覺,惡意軟體分析平臺VirusTotal的大部分防毒引擎也將其視為無害。
究竟攻擊者使用那些手法混淆惡意內容?研究人員提及,駭客利用Base64演算法處理字串,且直到執行的時候才進行解碼;再者,他們使用動態的功能函數及變數的名稱,並且將程式碼的文字字串拆解成更小的片段,然後在編譯的過程才重新拼湊。此外,這些駭客也運用了原型混淆手法,阻礙研究人員解讀程式碼的用途。
一旦上述的惡意程式碼啟動,就會先檢查受害電腦的作業系統類型,然後與C2進行通訊,並將受害電腦的系統資訊回,最終使用curl下載有效酬載,並透過Python指令碼解除混淆並執行。
此惡意酬載不僅會再度偵測完整的系統資訊,也會確認檢查受害電腦所在的地理位置,並具備遠端存取木馬(RAT)的功能,可讓攻擊者遠端執行命令、側錄鍵盤輸入內容、監控剪貼簿,透過FTP進行檔案傳輸,此外,攻擊者還能下載其他惡意程式,以便執行進一步的攻擊。
值得留意的是,駭客也為該惡意程式加入新的功能,例如,他們濫用遠端桌面連線工具AnyDesk,以便持續存取受害電腦。再者,他們透過FTP的延伸功能進行滲透。
若是上述攻擊成功,駭客先是針對Chrome的cookie下手,接著進行網路滲透,並下載另一個Python指令碼竊取電腦的敏感資料。
熱門新聞
2024-11-20
2024-12-06
2024-12-03
2024-11-15