18/09/24
Исследователи в области кибербезопасности предупреждают о новых атаках, осуществляемых хакерами из Северной Кореи, которые используют платформу LinkedIn для распространения вредоносного ПО под названием RustDoor. Специалисты из лаборатории Jamf Threat Labs сообщили, что обнаружили попытку взлома, в ходе которой злоумышленники представились кадровиками децентрализованной криптовалютной биржи STON.fi. Это передаёт Securitylab.
Эти атаки, как оказалось, являются частью более широкой кампании, инициированной государственными хакерами из КНДР. Они нацелены на инфильтрацию сетей компаний под предлогом проведения собеседований или тестирования навыков программирования. Основные мишени — финансовый и криптовалютный сектора, где злоумышленники стремятся к быстрому нелегальному заработку и выполнению определённых задач в интересах северокорейского режима.
Такого рода атаки отличаются высокой степенью адаптации под жертву и сложностью выявления. Это социальная инженерия, направленная на сотрудников компаний в области децентрализованных финансов, криптовалют и смежных сфер.
Одним из характерных признаков таких атак являются просьбы установить программы или выполнить код на устройствах, имеющих доступ к корпоративным сетям. Например, злоумышленники могут предложить пройти «предварительное тестирование» или выполнить отладочные задания с использованием нестандартных пакетов Node.js, PyPI или репозиториев GitHub.
Недавно специалисты Jamf зафиксировали попытку взлома, где жертве предложили загрузить проект для Visual Studio в рамках «тестового задания». Этот проект содержал скрытые команды, которые загружали два вредоносных файла: «VisualStudioHelper» и «zsh_env». Оба файла выполняли одинаковые функции, внедряя вредоносные программы второго этапа, включая RustDoor, также известный как Thiefbucket.
Примечательно, что вредоносное ПО RustDoor, направленное на системы macOS, впервые было зафиксировано в феврале 2024 года компанией Bitdefender в ходе атак на криптовалютные фирмы. Также существует версия для Windows, получившая название GateDoor.
Кроме того, VisualStudioHelper работает как инструмент для кражи данных, запрашивая у пользователя пароль системы, подделывая интерфейс программы Visual Studio. Оба вредоносных компонента используют разные C2-серверы.
