Severna Koreja nadograđuje InvisibleFerret malvere - novi format izbegava detektovanje
Severnokorejska grupa Void Dokkaebi prosledi InvisibleFerret malver kao kompajlirane binarne fajlove kako bi izbegla sigurnosne alate.
Šta se desilo?
Grupi hakera povezane sa Severnom Korejom, poznatoj kao Void Dokkaebi, uspelo je da prosledi InvisibleFerret malver u novom obliku koji je znatno teže detektovati. Umesto da se šalje kao obični Python skript, malver sada dolazi kao kompajlirani binarni fajl - .pyd fajl na Vindosusu i .so fajl na makOS-u. Ova promena čini ga nevidljivim za većinu tradicionalnih sigurnosnih alata.
Koga pogađa?
Razvijači softvera predstavljaju primarnu metu, posebno oni koji upravljaju kriptovalutnim novčanicima, ključevima za potpisivanje koda ili pristupom CI/CD cevovodima. Ugroženi su i zaposleni u organizacijama koje čuvaju osetljive autentifikacijske podatke i pristupe produkcijskim sistemima. Rizik je velik i za korisnike kriptovaluta i zaposlene u AI i blockchain kompanijama.
Kako se zaštititi?
- Budite oprezni pri praćenju ponuda za posao od strane osoba koje tvrde da su rekruteri - verifikujte njihov identitet preko zvaničnih kanala kompanije
- Nikad ne klonirajte ili ne pokrenite kodne repozitorijume iz nepoznatih izvora, čak i ako dolaze kao deo procesa za zapošljavanje
- Implementirajte naprednu zaštitu od malvera koja ide dalje od detekcije baziranih na skriptama - uključite monitoring ponašaja
- Redovno monitorujte pristupe ključevima za potpisivanje i CI/CD sistemima
- Edukujte razvojne timove o socijalnom inženjeringu i taktikama koje koriste napadači
- Aktivirajte dvostranu autentifikaciju na svim bitnim alatima i platformama
Tehnički detalji
InvisibleFerret je obavijen pomoću Cython-a, alata koji prevodi Python kod u nativne binarne datoteke. Malver zadržava sve svoje originalne sposobnosti - otvaranje backdoor pristupa, krađa kredencijala pregledača, monitoring clipboard-a, prihvatanje tastature i direktno targetovanje kriptovalutnih novčanika. Pratilac poznat kao BeaverTail evoluirao je iz jednostavnog downloader-a u napredniju pretnju sa sopstvenim mogućnostima sakupljanja kredencijala i napada na novčanike.
Preporuka Sajber Radara
Organizacije moraju hitno da ažuriraju svoje sigurnosne strategije - detekcija bazirana samo na skriptama više nije dovoljna. Prepručujemo implementaciju behavioral monitoring-a i redovno auditovanje pristupa kriptografskim ključevima, posebno u tehnološkim kompanijama i sektoru finansija.
