TraderTraitor IOCs

security Security

ФБР, CISA и Казначейство США впустили совестный документ по  кибербезопасности, чтобы привлечь внимание к киберугрозе, связанной с кражей криптовалюты и тактикой, используемой группой Advanced Persistent Threat (APT). Эта группа обычно отслеживается в индустрии кибербезопасности как Lazarus Group, APT38, BlueNoroff и Stardust Chollima.

TraderTraitor

Правительство США выявило группу северокорейских злоумышленников, использующих тактику, аналогичную ранее выявленной Lazarus Group . Lazarus Group использовала троянские криптовалютные приложения AppleJeus, направленные на частных лиц и компании - в том числе криптовалютные биржи и компании финансовых услуг - посредством распространения приложений для торговли криптовалютой, которые были модифицированы для включения вредоносного ПО, способствующего краже криптовалюты. По состоянию на апрель 2022 года, субъекты северокорейской Lazarus Group атаковали различные фирмы, организации и биржи в сфере блокчейна и криптовалют, используя спирфишинговые кампании и вредоносное ПО для кражи криптовалюты. Эти субъекты, вероятно, продолжат использовать уязвимости компаний, занимающихся криптовалютными технологиями, игровых компаний и бирж для генерирования и отмывания средств в поддержку северокорейского режима.
Тактика, техника и процедуры

Вторжения начинаются с рассылки большого количества spearphishing-сообщений сотрудникам криптовалютных компаний - часто работающих в сфере системного администрирования или разработки программного обеспечения/IT-операций (DevOps) - на различных коммуникационных платформах. Сообщения часто имитируют набор персонала и предлагают высокооплачиваемую работу, чтобы побудить получателей загрузить криптовалютные приложения, зараженные вредоносным ПО, которое правительство США называет "TraderTraitor".

Термин TraderTraitor описывает серию вредоносных приложений, написанных с использованием кроссплатформенного кода JavaScript с использованием среды исполнения Node.js с применением фреймворка Electron. Вредоносные приложения взяты из различных проектов с открытым исходным кодом и выдают себя за инструменты для торговли криптовалютой или прогнозирования цен. В кампаниях TraderTraitor используются веб-сайты с современным дизайном, рекламирующие предполагаемые функции приложений.

Код JavaScript, обеспечивающий основные функции программного обеспечения, поставляется в комплекте с Webpack. В коде есть функция, которая выдает себя за "обновление", с именем UpdateCheckSync(), которая загружает и выполняет вредоносную полезную нагрузку.

Функция обновления выполняет HTTP POST-запрос к PHP-скрипту, размещенному на домене проекта TraderTraitor в конечной точке /update/ или /oath/checkupdate.php. В последних вариантах ответ сервера разбирается как документ JSON с парой ключ-значение, где ключ используется как ключ шифрования AES 256 в режиме Cipher Block Chaining (CBC) или Counter (CTR) для расшифровки значения. Расшифрованные данные записываются в виде файла во временный каталог системы, как это предусмотрено методом os.tmpdir() в Node.js, и выполняются с помощью метода child_process.exec() в Node.js, который порождает оболочку как дочерний процесс текущего приложения Electron. Текст "Обновление завершено" затем записывается в оболочку для просмотра пользователем.

Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, пользовательский троян удаленного доступа (RAT), который собирает системную информацию и имеет возможность выполнять произвольные команды и загружать дополнительные полезные нагрузки (см. северокорейский инструмент удаленного доступа: COPPERHEDGE). Деятельность после компрометации специально адаптируется к среде жертвы и иногда завершается в течение недели после первоначального вторжения.

Indicators of Compromise

IPv4

  • 104.168.98.156
  • 107.154.160.132
  • 108.170.55.202
  • 151.101.64.119
  • 160.153.235.20
  • 185.66.41.17
  • 199.188.103.115
  • 38.132.124.161
  • 45.14.227.58
  • 46.16.62.238
  • 62.84.240.140
  • 82.102.31.14
  • 89.45.4.151

Domains

  • aideck.net
  • alticgo.com
  • creaideck.com
  • cryptais.com
  • dafnefonseca.com
  • dafom.dev
  • esilet.com
  • greenvideo.nl
  • haciendadeclarevot.com
  • infodigitalnew.com
  • sche-eg.org
  • tokenais.com
  • www.vinoymas.ch

URLs

  • https://aideck.net/board.php
  • https://dafnefonseca.com/wp-content/themes/top.php
  • https://github.com/dafomdev
  • https://greenvideo.nl/wp-content/themes/top.php
  • https://haciendadeclarevot.com/wp-content/top.php
  • https://infodigitalnew.com/wp-content/plugins/top.php
  • https://sche-eg.org/plugins/top.php
  • https://www.alticgo.com/update/
  • https://www.esilet.com/update/
  • https://www.vinoymas.ch/wp-content/plugins/top.php

MD5

  • 1c7d0ae1c4d2c0b70f75eab856327956
  • 1ca31319721740ecb79f4b9ee74cd9b0
  • 4e5ebbecd22c939f0edf1d16d68e8490
  • 53d9af8829a9c7f6f177178885901c01
  • 5d43baf1c9e9e3a939e5defd8f8fbd8d
  • 8397ea747d2ab50da4f876a36d673272
  • 855b2f4c910602f895ee3c94118e979a
  • 930f6f729e5c4d5fb52189338e549e5e
  • 9578c2be6437dcc8517e78a5de1fa975
  • 9a6307362e3331459d350a201ad66cd9
  • c2ea5011a91cd59d0396eb4fa8da7d21

SHA1

  • 3f2c1e60b5fac4cf1013e3e1fc688be490d71a84
  • 41f855b54bf3db621b340b7c59722fb493ba39a5
  • 48a6d5141e25b6c63ad8da20b954b56afe589031
  • 8e67006585e49f51db96604487138e688df732d3
  • ae9f4e39c576555faadee136c6c3b2d358ad90b9
  • b2d9ca7b6d1bbbe4864ea11dfca343b7e15597d8
  • d2a77c31c3e169bec655068e96cf4e7fc52e77b8
  • d5ff73c043f3bb75dd749636307500b60a436550
  • f1606d4d374d7e2ba756bdd4df9b780748f6dc98
  • f3263451f8988a9b02268f0fb6893f7c41b906d9
  • ff17bd5abe9f4939918f27afbe0072c18df6db37

SHA256

  • 5b40b73934c1583144f41d8463e227529fa7157e26e6012babd062e3fd7e0b03
  • 60b3cfe2ec3100caf4afde734cfd5147f78acf58ab17d4480196831db4aa5f18
  • 765a79d22330098884e0f7ce692d61c40dfcf288826342f33d976d8314cfd819
  • 867c8b49d29ae1f6e4a7cd31b6fe7e278753a1ba03d4be338ed11fd1efc7dd36
  • 89b5e248c222ebf2cb3b525d3650259e01cf7d8fff5e4aa15ccd7512b1e63957
  • 8acd7c2708eb1119ba64699fd702ebd96c0d59a66cba5059f4e089f4b0914925
  • 9ba02f8a985ec1a99ab7b78fa678f26c0273d91ae7cbe45b814e6775ec477598
  • 9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa
  • dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156
  • e3d98cc4539068ce335f1240deb1d72a0b57b9ca5803254616ea4999b66703ad
  • f0e8c29e3349d030a97f4a8673387c2e21858cccd1fb9ebbf9009b27743b2e5b
Добавить комментарий