根据 Cisco Talos 和 Google Threat Intelligence Group 的最新调查结果显示,与朝鲜有关联的威胁行为者正在加强他们的网络行动,并使用去中心化和规避性恶意软件工具。
这些活动旨在通过复杂的招聘骗局窃取加密货币、渗透网络并逃避安全控制。
恶意软件规避技术的演变
Cisco Talos 研究人员发现了朝鲜组织 Famous Chollima 正在开展的一项活动,该活动使用了两种互补的恶意软件:BeaverTail 和 OtterCookie。
这些程序传统上用于窃取凭据和数据外渗,但现在已发展出新的功能和更密切的交互。
在最近涉及斯里兰卡一家机构的事件中,攻击者诱骗一名求职者安装伪装成技术评估的恶意代码。
尽管该组织本身并非直接目标,但 Cisco Talos 分析师观察到了与 OtterCookie 相连的键盘记录和屏幕截图捕获模块。该模块隐蔽地记录按键和捕获桌面图像,并自动将其传输到远程命令服务器。
这一观察结果凸显了与朝鲜结盟的威胁组织的持续演变,以及他们对社交工程技术的关注,从而对毫无戒心的目标造成威胁。
区块链作为命令基础设施的应用
Google 威胁情报组 (GTIG) 发现了与朝鲜有关联的行为者 UNC5342 的一次行动。该组织使用了一种名为 EtherHiding 的新型恶意软件。
该工具将恶意 JavaScript 有效载荷隐藏在公共区块链上,将区块链转化为去中心化的命令和控制 (C2) 网络。
利用 区块链,攻击者可以远程修改恶意软件的行为,而无需借助传统服务器。执法行动也因此变得更加困难。
此外,GTIG 报告称,UNC5342 在名为 Contagious Interview 的社交工程活动中应用了 EtherHiding,Palo Alto Networks 之前已经发现了这一情况,这表明与朝鲜结盟的威胁行为者持续存在。
目标受众:加密货币行业从业者
据 Google 研究人员称,这些网络行动通常从针对加密货币和网络安全领域专业人士的欺诈性招聘广告开始。
受害者会被邀请参加虚假的评估,在此期间他们会被要求下载包含恶意代码的文件。
。什么是 EtherHiding?
- blackorbird (@blackorbird) 2025 年 10 月 16 日
这是一种新技术,攻击者将恶意有效载荷(如 JADESNOW 和 INVISIBLEFERRET 恶意软件)嵌入公共区块链(如 BNB 智能链和以太坊)上的智能合约中。https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5
感染过程通常涉及多个恶意软件系列,包括 JadeSnow、BeaverTail 和 InvisibleFerret。这些工具可让攻击者高效地访问系统、窃取凭证和部署勒索软件。
思科和谷歌发布了 "出错指标"(IOC),以帮助企业检测和应对与朝鲜有关的持续网络威胁。研究人员警告说,区块链和模块化恶意软件的整合可能会继续使全球网络安全防御工作复杂化。
