Связанные с Северной Кореей лица обошли систему безопасности Apple с помощью вредоносного ПО FlexibleFerret.
Роберт Райт, репортер
Just_Super через Getty Images
Исследователи обнаружили новые варианты вредоносного ПО для macOS, которые северокорейские киберпреступники, спонсируемые государством, использовали в кампаниях по угрозам, включающих поддельные собеседования при приеме на работу.
SentinelOne в своем сообщении в блоге в понедельник раскрыла «FlexibleFerret», новый тип вредоносного ПО для macOS, который в настоящее время не обнаруживается программным обеспечением безопасности Apple. Исследователи SentinelLabs заявили, что FlexibleFerret является частью активной кампании по угрозам, получившей название «Contagious Interview», в которой северокорейские злоумышленники используют собеседования при приеме на работу, чтобы обманом заставить целевых лиц загрузить вредоносное ПО.
«Обычно жертв просят связаться с интервьюером по ссылке, которая выдает сообщение об ошибке и запрос на установку или обновление необходимого программного обеспечения, такого как VCam или CameraAccess для виртуальных встреч», — написали исследователи SentinelLabs в своем сообщении в блоге.
По данным SentinelOne, вредоносное ПО Ferrett было впервые задокументировано поставщиками кибербезопасности в декабре. Apple обратила внимание на несколько вариантов семейства вредоносных программ macOS в обновлении сигнатур для XProtect на прошлой неделе. Однако северокорейские злоумышленники адаптировались к обновлению, развернув FlexibleFerret, который не обнаруживается XProtect.
Кроме того, исследователи SentinelLabs отметили, что в отличие от других вариантов семейства вредоносных программ macOS, FlexibleFerret был подписан действительной подписью разработчика Apple и идентификатором команды, а также содержит другие элементы, которые делают его похожим на легитимное программное обеспечение. По данным SentinelLabs, и подпись, и идентификатор команды были отозваны.
Кампания Contagious Interview, которая проводится с ноября 2023 года, нацелена как на работодателей, так и на разработчиков программного обеспечения с помощью публикаций на платформах поиска работы и форумах. Спонсируемые государством субъекты угроз, стоящие за атаками, обычно выдают себя за потенциальных работодателей и пытаются заманить разработчиков с помощью поддельных собеседований. Как только жертва нажимает на вредоносную ссылку, представленную интервьюером, FlexibleFerret заражает хост жертвы бэкдором, который может предоставить субъектам угроз доступ к текущему работодателю жертвы.
Цели GitHub
Исследователи SentinelLabs наблюдали последнюю итерацию этой кампании, нацеленную на пользователей GitHub путем открытия поддельных проблем в легитимных репозиториях.
«Разнообразные тактики помогают злоумышленникам доставлять вредоносное ПО различным целям в сообществе разработчиков, как целенаправленно, так и с помощью более разрозненных подходов через социальные сети и сайты обмена кодом, такие как Github», — написали они.
Фил Стоукс, старший научный сотрудник SentinelLabs и соавтор записи в блоге, сказал, что, хотя XProtect пока не обнаруживает FlexibleFerret, Apple, по-видимому, предприняла шаги для борьбы с новым вредоносным ПО.
«В настоящее время XProtect не содержит правила для FlexibleFerret. Одним из существенных различий между FlexibleFerret и другими вредоносными программами, идентифицированными правилами Apple Ferret, является то, что FlexibleFerret был подписан с Apple Developer ID», — сказал Стоукс. «Этот сертификат уже был отозван Apple на момент, когда мы отправились в печать, что указывает на то, что Apple известно об этом разработчике».
Стоукс добавил, что SentinelLabs наблюдала рост вредоносного ПО для macOS за последний год.
Активность Contagious Interview — это последний пример того, как северокорейские государственные злоумышленники атакуют предприятия и разработчиков с помощью кампаний, ориентированных на работу. В 2022 году ФБР предупредило, что злоумышленники выдают себя за граждан не Северной Кореи, используя технологию deepfake, и пытаются устроиться на работу в качестве ИТ-персонала и разработчиков программного обеспечения в западных компаниях.
В случае найма северокорейские злоумышленники будут использовать этот доступ для кражи конфиденциальных данных и интеллектуальной собственности. Власти США и поставщики услуг кибербезопасности настоятельно призвали работодателей предприятий и государственных учреждений проявлять осторожность при собеседовании с потенциальными сотрудниками и принимать дополнительные меры для проверки личности.
