北京
安全研究人員發(fā)現(xiàn),一個與朝鮮有關(guān)的黑客組織正在用更隱蔽的方式投遞惡意軟件。他們不再直接發(fā)送Python腳本,而是把代碼編譯成Windows和macOS系統(tǒng)上的原生二進制文件,讓依賴腳本特征檢測的安全工具失效。
這個名為Void Dokkaebi的組織(也被稱為Famous Chollima)長期針對軟件開發(fā)者下手。他們的目標很明確:加密貨幣錢包憑證、代碼簽名密鑰,以及CI/CD構(gòu)建管道的訪問權(quán)限。攻擊者通常偽裝成加密貨幣或AI公司的招聘人員,誘導(dǎo)開發(fā)者在"面試"環(huán)節(jié)克隆并運行惡意代碼倉庫。
Trend Micro的分析顯示,該組織使用的InvisibleFerret信息竊取木馬已經(jīng)完成了技術(shù)升級。開發(fā)者使用Cython工具將Python代碼轉(zhuǎn)換為原生二進制——Windows平臺分發(fā)為.pyd文件(DLL格式的Python擴展模塊),macOS平臺則為.so共享庫文件。這兩種格式都無法獨立運行,必須依賴Python解釋器。
為了解決這個問題,感染鏈會在磁盤上寫入一個配套的.mod腳本,由它來啟動編譯后的二進制文件。這意味著安全工具如果還在掃描Python腳本特征,將完全無法識別這些二進制文件中的威脅。雖然通過二進制分析仍能提取IP地址和端口號,但運行時腳本可以用參數(shù)傳入不同的命令控制服務(wù)器地址,進一步增加追蹤難度。
升級后的InvisibleFerret保留了完整功能:開啟后門、竊取瀏覽器憑證、監(jiān)控剪貼板、記錄鍵盤輸入、竊取加密貨幣錢包。與其配合的BeaverTail加載器也從簡單的下載器進化出獨立的憑證收集和錢包定位功能。
這次技術(shù)調(diào)整針對性很強。安全團隊如果依賴基于腳本的檢測規(guī)則,現(xiàn)在出現(xiàn)了一個明顯的覆蓋盲區(qū)。攻擊者顯然在計算防御者的更新節(jié)奏——當檢測策略滯后于投遞手法時,窗口期就是他們的機會。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
