Хакери од ДНРК користат ClickFix за испорака на BeaverTail малициозен софтвер преку измами со крипто работни понуди

Заканувачи поврзани со Демократска Народна Република Кореја (ДНРК или Северна Кореја) се забележани како користат ClickFix-стил намами за испорака на познат малициозен софтвер наречен BeaverTail и InvisibleFerret.

„Заканувачот користеше ClickFix намами за таргетирање на улоги во маркетинг и трговија во организации од криптовалутниот и малопродажниот сектор, наместо таргетирање на улоги во развој на софтвер,“ изјави истражувачот од GitLab Threat Intelligence, Оливер Смит, во извештај објавен минатата недела.

Првпат откриени од Palo Alto Networks кон крајот на 2023 година, BeaverTail и InvisibleFerret биле користени од севернокорејски оперативци како дел од долготрајна кампања наречена Contagious Interview (позната и како Gwisin Gang), при што малициозниот софтвер им се доставува на програмери под изговор на тест за работа. Се проценува дека оваа група е подгрупа на пошироката организација Lazarus, која е активна најмалку од декември 2022 година.

Со текот на времето, BeaverTail се ширеше и преку лажни npm пакети и фалсификувани Windows апликации за видеоконференции, како FCCCall и FreeConference. Напишан е на JavaScript и функционира како крадец на информации и даунлоудер за Python-базиран бекдор познат како InvisibleFerret.

Важна еволуција на кампањата е употребата на ClickFix социјално-инженерска тактика за испорака на малициозен софтвер како GolangGhost, PylangGhost и FlexibleFerret – подгрупа активности следена како ClickFake Interview.

Најновиот бран напади, забележан кон крајот на мај 2025 година, е значаен поради тоа што се користи ClickFix за испорака на BeaverTail (наместо GolangGhost или FlexibleFerret) и испорака на крадецот во форма на компајлирана бинарна датотека, создадена со алатки како pkg и PyInstaller, за Windows, macOS и Linux системи.

Лажна веб-апликација за вработување создадена со Vercel служи како вектор за дистрибуција на малициозниот софтвер, при што заканувачот рекламира работни позиции за криптовалутни трговци, продажба и маркетинг во различни Web3 организации, како и ги охрабрува целите да инвестираат во Web3 компанија.

„Фактот што заканувачот таргетира кандидати за маркетинг и се претставува како организација од малопродажниот сектор е забележителен, со оглед на тоа што дистрибутерите на BeaverTail обично се фокусираат на софтверски програмери и криптовалутниот сектор,“ изјави Смит.

Корисниците кои ќе пристигнат на сајтот им се снима јавната IP адреса и им се наложува да извршат видео-тестирање, по што им се прикажува лажна техничка грешка за непостоечки проблем со микрофон и им се бара да внесат команда специфична за оперативниот систем за наводно решавање на проблемот. Ова всушност доведува до инсталација на полесна верзија на BeaverTail, преку shell скрипта или Visual Basic Script.

„Варијантата на BeaverTail поврзана со оваа кампања содржи поедноставена рутина за крадење информации и таргетира помал број екстензии за прелистувачи,“ изјавија од GitLab. „Варијантата таргетира само осум екстензии за прелистувачи, наместо 22 таргетирани во други современи варијанти на BeaverTail.“

Друга важна измена е отстранувањето на функциите за крадење податоци од веб-прелистувачи освен Google Chrome. Windows верзијата на BeaverTail исто така е откриена дека се потпира на архива заштитена со лозинка која се испорачува заедно со малициозниот софтвер за да ги вчита Python зависностите поврзани со InvisibleFerret.

Иако архивите заштитени со лозинка се прилично честа техника што разни заканувачи ја користат веќе некое време, ова е првпат методот да биде употребен за испорака на товар во врска со BeaverTail, што укажува дека заканувачите активно ги усовршуваат своите синџири на напади.

Понатаму, ниската распространетост на секундарни артефакти и отсуството на социјално инженерска умешност сугерираат дека кампањата можеби била ограничен тест и е малку веројатно да се примени во поголеми размери.

„Кампањата сугерира блага тактичка промена за една подгрупа на севернокорејските BeaverTail оператори, кои се прошируваат надвор од нивното традиционално таргетирање на софтверски развивачи за да следат маркетинг и трговски улоги во криптовалутниот и малопродажниот сектор,“ рече GitLab. „Преминот кон компајлирани варијанти на малициозен софтвер и континуираната зависност од ClickFix техниките демонстрираат оперативна адаптација за да се допре до помалку технички цели и системи без стандардни развојни алатки.“

Развојот доаѓа како резултат на заедничка истрага на SentinelOne, SentinelLabs и Validin, кои открија дека најмалку 230 индивидуи биле таргетирани од кампањата Contagious Interview во лажни интервјуа за криптовалутни работни места помеѓу јануари и март 2025 година, со имитација на компании како Archblock, Robinhood и eToro.

Оваа кампања суштински вклучувала користење на ClickFix теми за дистрибуција на малициозни Node.js апликации наречени ContagiousDrop, дизајнирани да имплементираат малициозен софтвер маскиран како ажурирања или неопходни алатки. Товарот е приспособен на оперативниот систем и архитектурата на системот на жртвата. Исто така е способен да каталогизира активности на жртвата и да испрати е-пошта известување кога засегнатиот поединец ќе го започне лажниот тест за вештини.

„Оваа активност […] вклучувала заканувачи кои испитувале информации од областа на кибер-разузнавање (CTI) поврзани со нивната инфраструктура,“ забележаа компаниите, додавајќи дека напаѓачите се вклучиле во координиран напор за проценка на нова инфраструктура пред стекнување, како и за следење на знаци за детекција на нивните активности преку Validin, VirusTotal и Maltrail.

Информациите добиени од ваквите активности се наменети за подобрување на отпорноста и ефикасноста на нивните кампањи, како и за брзо распоредување на нова инфраструктура по блокирање од даватели на услуги, што одразува фокус на инвестирање ресурси за одржување на нивните операции, наместо спроведување големи промени за обезбедување на постоечката инфраструктура.

„Имајќи ја предвид континуираната успешност на нивните кампањи во вклучувањето цели, може да биде по-прагматично и поефикасно заканувачите да распоредуваат нова инфраструктура отколку да одржуваат постоечки ресурси,“ рекоа истражувачите. „Потенцијални внатрешни фактори, како што се децентрализирани командни структури или ограничувања во оперативните ресурси, можат да ја ограничат нивната способност брзо да имплементираат координирани промени.“

„Нивната оперативна стратегија изгледа дека дава приоритет на брзо заменување на инфраструктурата изгубена поради акции на давателите на услуги, користејќи новообезбедена инфраструктура за да ја продолжат својата активност.“

Севернокорејските хакери имаат долга историја на обиди за собирање разузнавачки информации за да ги унапредат своите операции. Уште во 2021 година, Google и Microsoft открија дека хакери поддржани од Пјонгјанг таргетирале истражувачи по безбедносни ранливости преку мрежа на лажни блогови и профили на социјални медиуми за да украдат експлоати.

Потоа, минатата година, SentinelOne предупреди за кампања спроведена од ScarCruft (позната и како APT37), насочена кон корисници на разузнавачки извештаи со лажни технички извештаи како мамки за испорака на RokRAT, сопствено напишен бекдор што ексклузивно го користи севернокорејската група.

Сепак, поновите кампањи на ScarCruft сведочат за одредено отстапување, преземајќи невообичаен чекор да ги инфицираат целите со сопствен VCD ransomware, заедно со еволуирачки арсенал што вклучува крадци и бекдори CHILLYCHINO (познат и како Rustonotto) и FadeStealer. CHILLYCHINO, имплант базиран на Rust, е нов додаток во арсеналот на групата од јуни 2025. Тоа е, исто така, прв познат случај на APT37 што користи Rust-базиран малициозен софтвер за таргетирање Windows системи.

FadeStealer, од друга страна, е алатка за надзор првпат идентификувана во 2023 година, која има можност да снима притискање на тастери, да фаќа скриншоти и аудио, да следи уреди и преносливи медиуми и да извлекува податоци преку RAR архиви заштитени со лозинка. За комуникација со својот C2 сервер користи HTTP POST и Base64 енкодирање.

Синџирот на нападот, според Zscaler ThreatLabz, вклучува користење на spear-phishing пораки за дистрибуција на ZIP архиви што содржат Windows пречици (LNK) или помошни датотеки (CHM), кои потоа испорачуваат CHILLYCHINO или неговиот познат PowerShell еквивалент Chinotto, а тие пак контактираат со C2 серверот за преземање на товар од следната фаза, одговорен за активирање на FadeStealer.

„Откривањето на ransomware означува значајна промена од чисто шпионски операции кон финансиски мотивирана и потенцијално деструктивна активност,“ рече S2W. „Оваа еволуција ја нагласува не само функционалната диверзификација, туку и пошироко стратешко пренасочување на целите на групата.“

Нови Kimsuky Кампањи Откриени

Откритијата доаѓаат и во момент кога севернокорејската хакерска група Kimsuky (позната и како APT43) – за која наводно се смета дека претрпела пробив, најверојатно откривајќи тактики и алатки на актер со седиште во Кина што работи за Кралството Отшелник (или на кинески оператор што го имитира нивниот начин на работа) – е поврзана со две различни кампањи, од кои едната вклучува злоупотреба на GitHub репозиториуми за испорака на крадечки малициозен софтвер и извлекување на податоци.

„Заканувачот искористи малициозна LNK датотека [присутна во ZIP архиви] за преземање и извршување дополнителни PowerShell-базирани скрипти од GitHub репозиториум,“ рече S2W. „За пристап до репозиториумот, напаѓачот вгради хардкодирана GitHub Private Token директно во скриптата.“

PowerShell скриптата преземена од репозиториумот е опремена со можности за собирање на системски метаподатоци, вклучувајќи време на последно подигнување, конфигурација на системот и активни процеси; запишување на информациите во log-датотека; и нивно качување во репозиториум под контрола на напаѓачот. Исто така презема документ-мамка за да се избегне будење сомнеж.

Со оглед на користењето доверлива инфраструктура за малициозни цели, на корисниците им се советува да го следат сообраќајот кон api.github.com и создавањето на сомнителни закажани задачи, што укажува на упорност.

Втората кампања поврзана со Kimsuky се однесува на злоупотреба на ChatGPT од OpenAI за фалсификување deepfake воени лични карти во spear-phishing кампања насочена кон ентитети поврзани со одбраната на Јужна Кореја и други индивидуи фокусирани на севернокорејски прашања, како што се истражувачи, активисти за човекови права и новинари.

Фишинг е-пораки со deepfake воени лични карти како мамка беа забележани на 17 јули 2025 година, по серија ClickFix-базирани фишинг кампањи меѓу 12 и 18 јуни, отворајќи пат за малициозен софтвер што овозможува кражба на податоци и далечинска контрола.

Мултифазниот синџир на инфекција е откриен дека користи ClickFix-слични CAPTCHA страници за верификација за да испорача AutoIt скрипта која се поврзува со надворешен сервер за извршување на batch команди издадени од напаѓачот, соопшти јужнокорејската компанија за сајбер-безбедност Genians во извештај објавен минатата недела.

Алтернативно, бран од неодамнешни напади се потпираше и на лажни е-пораки за пренасочување на невнимателни корисници кон страници за крадење акредитиви, како и испраќање пораки со замкирани линкови кои, кога ќе се кликнат, преземаат ZIP архива што содржи LNK датотека, која пак извршува PowerShell команда за преземање синтетички слики создадени со ChatGPT и batch скрипта што на крај го испорачува истиот AutoIt скрипт во cabinet архивска датотека.

„Ова беше класифицирано како APT напад што се претставува како јужнокорејска институција поврзана со одбраната, маскирана како да се занимава со задачи за издавање на лични документи за воени службеници,“ соопшти Genians. „Ова е вистински случај што ја демонстрира примената на deepfake технологијата од страна на групата Kimsuky.“

Извори:

• The Hacker New– „DPRK Hackers Use ClickFix to Deliver BeaverTail Malware in Crypto Job Scams“ .The Hacker New