圈小蛙
Trend Research 研究发现,俄罗斯境内有多个 IP 地址段被用于与朝鲜勾结的网络犯罪活动。这些活动与一系列与 Void Dokkaebi 入侵套件(也称为 Famous Chollima)相关的攻击活动有关。
这些俄罗斯IP地址范围被一个大型匿名网络隐藏,该网络使用商业VPN服务、代理服务器以及众多带有RDP的VPS服务器,并分配给哈桑和哈巴罗夫斯克的两家公司。哈桑距离朝俄边境一英里,而哈巴罗夫斯克则以其与朝鲜的经济和文化联系而闻名。
朝鲜的互联网接入稀缺;他们的国家网络仅分配有 1,024 个 IP 地址,但该国在网络犯罪中扮演着重要角色。国际执法部门公开将多起备受瞩目的网络攻击活动归咎于朝鲜,最新一起是价值15 亿美元的 Bybit 黑客攻击事件。自然,要将网络犯罪规模扩大到朝鲜所认为的水平,需要的互联网资源远比 1,024 个 IP 地址要多得多。实现这一目标的一种方法是派遣或雇用大量 IT 人员到国外工作。此外,大规模匿名网络被用来掩盖与朝鲜有关的攻击活动;这些匿名层隐藏了恶意流量的来源并使归因变得更加困难。
Trend Research 评估称,朝鲜部署的 IT 员工通过两个俄罗斯 IP 地址段和两个朝鲜 IP 地址连接到本国。趋势科技的遥测数据强烈表明,这些与朝鲜结盟的 IT 员工来自俄罗斯、巴基斯坦等国。
根据 Trend Research 的评估,与朝鲜结盟的行为者使用俄罗斯 IP 地址范围通过 RDP 连接到数十台 VPS 服务器,然后执行诸如在招聘网站上互动以及访问加密货币相关服务等任务。他们参与暴力破解加密货币钱包密码活动的一些服务器就位于俄罗斯的某个 IP 范围内。
此外,还发现了一些教学视频,其中似乎包含非英语母语的文字,详细介绍了如何设置 Beavertail 恶意软件的命令与控制服务器以及如何破解加密货币钱包密码。这使得朝鲜可能也在与外国阴谋家合作。
乌克兰、美国和德国的IT专业人士已成为这些攻击活动的目标,这些虚假公司会诱骗他们参加虚假的求职面试。Trend Research评估称,Void Dokkaebi的主要目标是从对加密货币、Web3和区块链技术感兴趣的软件专业人士那里窃取加密货币。
趋势科技(Trend Research)研究发现,一些与朝鲜相关的攻击活动是从五个俄罗斯IP地址段发起的。这些IP地址段被VPN层、代理层或RDP层隐藏,无法被察觉。它们被分配给了俄罗斯哈桑和哈巴罗夫斯克的两个组织。Trend Research评估,与朝鲜相关的攻击活动也利用了其他国家的互联网基础设施。
哈桑是俄罗斯的一个小镇,距离朝鲜和中国的边境仅一英里。这里是一座名为“韩俄友谊桥”的铁路桥的所在地。哈巴罗夫斯克以其与朝鲜的经济和文化联系而闻名。因此,这两个城镇自然而然地成为了与朝鲜目标一致的网络犯罪活动的中心。Trend Research发现,俄罗斯的IP地址段使用RDP连接到世界各地的众多VPS服务器,然后从那里执行任务,例如通过Skype、Telegram、Discord和Slack等应用程序进行通信,在招聘网站上联系外国IT专业人士,以及连接到与加密货币相关的网站,例如清空被盗的加密货币钱包或洗钱。
联系外国 IT 专业人士是一种常见的社会工程学手段,即利用虚假的求职面试来引诱软件开发人员。在这种骗局中,开发人员会申请领英 (LinkedIn) 等招聘网站上发布的职位。所谓的招聘人员会要求申请人在面试过程中完成特定任务。这些任务可能涉及调试或增强代码,申请人必须从 GitHub、GitLab、Bitbucket 或 GitLab 私有网站等信誉良好的代码存储库下载这些代码。虽然这些存储库通常不直接托管恶意代码,但它们可能包含注入托管在第三方网站上的混淆有害脚本的代码。当申请人在其个人计算机或生产系统(而不是在隔离的虚拟环境中)上运行下载的代码时,攻击者便获得了对申请人系统的访问权限。
一旦进入设备,攻击者可能会安装其他恶意软件,这些恶意软件会自动查找密码和加密货币钱包等敏感数据。然后,他们可能会尝试清空加密货币钱包并窃取其他敏感数据。一些受感染的设备会通过安装 CCProxy 等合法代理软件,集成到攻击者的匿名基础设施中。
在另一个骗局中,朝鲜IT工作者在西方公司获得IT相关工作,并利用居住在西方的同谋运营的笔记本电脑农场。通过使用这些笔记本电脑农场,朝鲜IT工作者可以向受害公司隐瞒他们正在为外国远程工作的事实。Trend Research评估认为,该骗局与Beavertail恶意软件活动密切相关。
趋势的研究文章还探讨了归因于 Void Dokkaebi(又名 Famous Chollima)的 Beavertail 恶意软件攻击活动集群。Trend Research重点关注了一家名为 BlockNovas 的虚构公司,该公司拥有自己的网站,并在 LinkedIn 和 Upwork 等多个招聘平台上运营。数百名求职者响应了 BlockNovas 的招聘信息,其中几人在面试过程中感染了恶意软件。BlockNovas 在乌克兰、美国、德国和其他国家/地区发布了 Web3 和区块链专家的职位空缺。BlockNovas 使用了 Beavertail 和 Invisible Ferret 恶意软件,并采用了诱导求职者下载并运行恶意软件的策略,以便在自动化的面试过程中解决笔记本电脑摄像头的虚构问题。
在调查 BlockNovas 时,趋势科技发现匿名层的较低层级是俄罗斯的 IP 范围,另一个 Beavertail 命令与控制 (C&C) 服务器集群也通过 VPN、代理和 RDP 会话从相同的俄罗斯 IP 范围进行管理。
这让趋势科技得出一个有趣的假设:朝鲜的主要网络攻击活动都是从或通过位于俄罗斯哈桑和哈巴罗夫斯克的互联网基础设施进行的;此类基础设施自 2017 年以来已建立,并自 2023 年以来规模不断扩大。