Famous Chollima új eszközei
A Cisco Talos egy új támadást leplezett le, amely a Famous Chollima nevű, Észak-Koreához kötött csoport alkalmaz. Ez a csoport arról ismert, hogy munkaerő-közvetítő szervezeteknek adva ki magukat veszik célba az álláskeresőket, és ráveszik őket információlopó rosszindulatú programok telepítésére kriptovaluták és felhasználói hitelesítő adatok megszerzése érdekében.
A Cisco Talos jelentése szerint egy fejlett, moduláris toolchain — OtterCookie és BeaverTail — újabb iterációi aktívan használatosak olyan kampányokban, amelyek kriptovaluta-érintettségű célpontokat és fejlesztői környezeteket céloznak. A támadás vektorai között trojanzott Node.js-csomagok és kompromittált forráskód-tárak, valamint egy rosszindulatú VS Code-kiterjesztés is megjelent, így a fertőzés gyakran fejlesztői vagy onboarding folyamatok megtévesztésén keresztül indul. A megtalált komponensek között van távparancs-héj, fájlfeltöltő modul, clipboard- és böngésző-kiterjesztés-lopó rutin, valamint a legújabb v5-ös változatban keylogger és képernyőkép-készítő modul is, amelyek a kompromittált gépről rendszeresen küldik el a kiemelten értékes fájlokat, tárcainformációkat és billentyűleütéseket a C2 szerverre.
Talos rámutat, hogy az OtterCookie/BeaverTail kódja időben modulárissá vált, erősen elrejtett betöltési mechanizmusokkal és anti-analízis ellenőrzésekkel, illetve hogy a két eszköz funkcionalitása egyes esetekben összemosódott, ami megnehezíti a felismerést és a jelenség szegmentálását. A művelet jellegzetessége, hogy a támadók kripto-összefüggésű hívószavakat és hamis munkalehetőségeket használnak társadalmi manipulációra, továbbá a fertőzés forrásai között szerepelnek publikus repók és harmadik fél kiegészítők, ezért a védelem alapvető elemei, a fejlesztői környezetek, csomagkezelők és kiterjesztések szigorú ellenőrzése, nem megbízható forrásból származó kód telepítésének megtiltása, végponti viselkedéselemzés és kimeneti forgalom monitorozása, valamint a kriptotárcákhoz és hitelesítő fájlokhoz való hozzáférés korlátozása.
