Северокорейские хакерские группировки развернули масштабную кампанию под кодовым названием "DeceptiveDevelopment", нацеленную на IT-разработчиков по всему миру. Атака, отслеживаемая словацкой компанией ESET, затрагивает специалистов, работающих с операционными системами Windows, Linux и macOS, с особым акцентом на сектор криптовалют и Web3. Эта деятельность, также известная под названиями DEVPOPPER, Famous Chollima и Void Dokkaebi, использует многоплатформенное вредоносное ПО для кражи данных и цифровых активов.
Атака начинается с тщательно продуманной социальной инженерии в рамках операции "Contagious Interview". Хакеры, выдавая себя за рекрутеров, связываются с потенциальными жертвами на профессиональных платформах, таких как LinkedIn, Upwork, Freelancer и Crypto Jobs List, предлагая им привлекательные вакансии. После установления контакта жертве предлагается либо пройти видеособеседование, либо выполнить тестовое задание. В первом случае ссылка ведет на вредоносный сайт, использующий тактику "ClickFix" для установки ПО под видом обновления драйверов NVIDIA. Во втором — жертву просят скопировать проект из репозитория на GitHub, который содержит скрытый вредоносный код.
В ходе кампании был обнаружен новый бэкдор под названием AkdoorTea. Этот троян удаленного доступа (RAT) доставляется через пакетный скрипт Windows, который загружает ZIP-архив "nvidiaRelease.zip". Скрипт запускает из архива код на Visual Basic, который, в свою очередь, активирует загрузчик BeaverTail и сам AkdoorTea. Анализ показал, что AkdoorTea имеет общие черты с вредоносом Akdoor, являющимся вариантом импланта NukeSped (также известного как Manuscrypt), что напрямую связывает эту атаку с активностью более крупной группировки Lazarus Group.
Основным инструментом для кражи информации и криптовалют служит набор вредоносного ПО TsunamiKit. Этот инструментарий, впервые замеченный в 2024 году, не является собственной разработкой хакеров, а представляет собой модификацию проекта с даркнета, образцы которого датируются декабрем 2021 года. Доставка TsunamiKit осуществляется через вредонос InvisibleFerret. Процесс заражения многоступенчатый: TsunamiLoader запускает TsunamiInjector, который развертывает TsunamiInstaller и TsunamiHardener, а затем TsunamiClientInstaller загружает и запускает основной модуль TsunamiClient.
Компоненты TsunamiKit выполняют четко разделенные функции. TsunamiHardener отвечает за закрепление в системе и добавление исключений в Microsoft Defender для обеспечения скрытности. Основной модуль TsunamiClient представляет собой шпионское ПО , которое не только похищает данные, но и устанавливает на зараженное устройство криптовалютные майнеры, в частности XMRig и NBMiner, для генерации цифровых активов.
Исследователи ESET назвали троян Tropidoor «самым сложным инструментом, связанным с группой DeceptiveDevelopment". Он доставляется с помощью вредоноса BeaverTail и, по данным компании ASEC, имеет пересечения с инструментом Lazarus Group под названием LightlessCan. Tropidoor также делит значительные участки кода с другим вредоносом, PostNapTea. География его распространения подтверждается загруженными на VirusTotal артефактами из Кении, Колумбии и Канады.
В арсенал группировки также входит ряд других вредоносных программ. Среди них PostNapTea, который применялся против целей в Южной Корее в 2022 году и способен обновлять конфигурацию, управлять файлами, делать снимки экрана и выполнять скрытые версии системных команд Windows (whoami, netstat, tracert), что также является характерной чертой LightlessCan. В атаках задействованы инфостилеры и загрузчики BeaverTail, OtterCookie, PylangGhost и InvisibleFerret. Отдельно выделяется GolangGhost (также известный как FlexibleFerret и WeaselStore), который не просто похищает данные из браузеров и криптокошельков, а закрепляется в системе как полноценный RAT, ожидая дальнейших команд от управляющего сервера.
Аналитики из компании Zscaler установили, что кампания "Contagious Interview" тесно переплетается с другой операцией Пхеньяна — схемой мошеннического трудоустройства IT-специалистов, известной как WageMole. Информация, собранная в ходе взломов, используется для создания поддельных или украденных личностей, с помощью которых северокорейские агенты получают удаленную работу в западных компаниях. Эта схема действует как минимум с 2017 года.
Недавний отчет компании Trellix иллюстрирует эту угрозу на конкретном примере. Была задокументирована попытка мошеннического трудоустройства в американскую компанию из сферы здравоохранения. Соискатель под вымышленным именем «Кайл Лэнкфорд» претендовал на должность главного инженера-программиста. Мошенничество было раскрыто после того, как Trellix сопоставила адреса электронной почты кандидата с известными индикаторами, связанными с северокорейскими хакерами.
По оценке исследователей ESET, Петера Кальная и Матея Гавранека, деятельность группировки представляет собой «гибридную угрозу», сочетающую классические преступления, такие как кража личных данных и мошенничество с использованием синтетических личностей, с современными цифровыми инструментами киберпреступности. Их тактика демонстрирует «распределенную, ориентированную на объем модель», которая компенсирует недостаток технической сложности масштабом, креативной социальной инженерией и активным использованием программного обеспечения с открытым исходным кодом или арендованного вредоносного ПО.
Изображение носит иллюстративный характер
Атака начинается с тщательно продуманной социальной инженерии в рамках операции "Contagious Interview". Хакеры, выдавая себя за рекрутеров, связываются с потенциальными жертвами на профессиональных платформах, таких как LinkedIn, Upwork, Freelancer и Crypto Jobs List, предлагая им привлекательные вакансии. После установления контакта жертве предлагается либо пройти видеособеседование, либо выполнить тестовое задание. В первом случае ссылка ведет на вредоносный сайт, использующий тактику "ClickFix" для установки ПО под видом обновления драйверов NVIDIA. Во втором — жертву просят скопировать проект из репозитория на GitHub, который содержит скрытый вредоносный код.
В ходе кампании был обнаружен новый бэкдор под названием AkdoorTea. Этот троян удаленного доступа (RAT) доставляется через пакетный скрипт Windows, который загружает ZIP-архив "nvidiaRelease.zip". Скрипт запускает из архива код на Visual Basic, который, в свою очередь, активирует загрузчик BeaverTail и сам AkdoorTea. Анализ показал, что AkdoorTea имеет общие черты с вредоносом Akdoor, являющимся вариантом импланта NukeSped (также известного как Manuscrypt), что напрямую связывает эту атаку с активностью более крупной группировки Lazarus Group.
Основным инструментом для кражи информации и криптовалют служит набор вредоносного ПО TsunamiKit. Этот инструментарий, впервые замеченный в 2024 году, не является собственной разработкой хакеров, а представляет собой модификацию проекта с даркнета, образцы которого датируются декабрем 2021 года. Доставка TsunamiKit осуществляется через вредонос InvisibleFerret. Процесс заражения многоступенчатый: TsunamiLoader запускает TsunamiInjector, который развертывает TsunamiInstaller и TsunamiHardener, а затем TsunamiClientInstaller загружает и запускает основной модуль TsunamiClient.
Компоненты TsunamiKit выполняют четко разделенные функции. TsunamiHardener отвечает за закрепление в системе и добавление исключений в Microsoft Defender для обеспечения скрытности. Основной модуль TsunamiClient представляет собой шпионское ПО , которое не только похищает данные, но и устанавливает на зараженное устройство криптовалютные майнеры, в частности XMRig и NBMiner, для генерации цифровых активов.
Исследователи ESET назвали троян Tropidoor «самым сложным инструментом, связанным с группой DeceptiveDevelopment". Он доставляется с помощью вредоноса BeaverTail и, по данным компании ASEC, имеет пересечения с инструментом Lazarus Group под названием LightlessCan. Tropidoor также делит значительные участки кода с другим вредоносом, PostNapTea. География его распространения подтверждается загруженными на VirusTotal артефактами из Кении, Колумбии и Канады.
В арсенал группировки также входит ряд других вредоносных программ. Среди них PostNapTea, который применялся против целей в Южной Корее в 2022 году и способен обновлять конфигурацию, управлять файлами, делать снимки экрана и выполнять скрытые версии системных команд Windows (whoami, netstat, tracert), что также является характерной чертой LightlessCan. В атаках задействованы инфостилеры и загрузчики BeaverTail, OtterCookie, PylangGhost и InvisibleFerret. Отдельно выделяется GolangGhost (также известный как FlexibleFerret и WeaselStore), который не просто похищает данные из браузеров и криптокошельков, а закрепляется в системе как полноценный RAT, ожидая дальнейших команд от управляющего сервера.
Аналитики из компании Zscaler установили, что кампания "Contagious Interview" тесно переплетается с другой операцией Пхеньяна — схемой мошеннического трудоустройства IT-специалистов, известной как WageMole. Информация, собранная в ходе взломов, используется для создания поддельных или украденных личностей, с помощью которых северокорейские агенты получают удаленную работу в западных компаниях. Эта схема действует как минимум с 2017 года.
Недавний отчет компании Trellix иллюстрирует эту угрозу на конкретном примере. Была задокументирована попытка мошеннического трудоустройства в американскую компанию из сферы здравоохранения. Соискатель под вымышленным именем «Кайл Лэнкфорд» претендовал на должность главного инженера-программиста. Мошенничество было раскрыто после того, как Trellix сопоставила адреса электронной почты кандидата с известными индикаторами, связанными с северокорейскими хакерами.
По оценке исследователей ESET, Петера Кальная и Матея Гавранека, деятельность группировки представляет собой «гибридную угрозу», сочетающую классические преступления, такие как кража личных данных и мошенничество с использованием синтетических личностей, с современными цифровыми инструментами киберпреступности. Их тактика демонстрирует «распределенную, ориентированную на объем модель», которая компенсирует недостаток технической сложности масштабом, креативной социальной инженерией и активным использованием программного обеспечения с открытым исходным кодом или арендованного вредоносного ПО.
