俄罗斯基础设施在朝鲜网络犯罪活动中扮演关键角色
摘要
趋势科技研究已识别出多个俄罗斯IP地址范围被用于与朝鲜相关的网络犯罪活动。这些活动与Void Dokkaebi入侵集(也称为Famous Chollima)相关的一系列活动有关。
这些俄罗斯IP地址范围通过大型匿名化网络进行隐藏,该网络使用商业VPN服务、代理服务器和大量带有RDP的VPS服务器。这些IP地址分配给哈桑和哈巴罗夫斯克的两家公司。哈桑距离朝鲜-俄罗斯边境仅一英里,而哈巴罗夫斯克以其与朝鲜的经济和文化联系而闻名。
趋势研究评估认为,朝鲜部署了IT工作人员,他们通过俄罗斯IP范围中的两个IP地址和朝鲜的两个IP地址连接回本国。趋势科技的遥测数据强烈表明,这些与朝鲜相关的IT工作人员在中国、俄罗斯和巴基斯坦等地工作。
根据趋势研究的评估,与朝鲜相关的行为者使用俄罗斯IP范围通过RDP连接到数十个VPS服务器,然后执行诸如在招聘网站上互动和访问加密货币相关服务等任务。他们用于破解加密货币钱包密码的暴力破解活动所涉及的一些服务器位于其中一个俄罗斯IP范围内。
还发现了带有非母语英语文本的教学视频,详细介绍了如何设置Beavertail恶意软件命令与控制服务器以及如何破解加密货币钱包密码。这使得朝鲜可能与外国共谋者合作的可能性增加。
乌克兰、美国和德国的IT专业人士在这些活动中成为目标,他们被虚构的公司引诱参加欺诈性的工作面试。趋势研究评估认为,Void Dokkaebi的主要重点是从对加密货币、Web3和区块链技术感兴趣的软件专业人士那里窃取加密货币。
Trend Vision One™检测并阻止了本博客中讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取关于Void Dokkaebi的丰富背景和最新更新。
朝鲜的网络犯罪规模与匿名化需求
朝鲜的互联网访问极为有限;其国家网络仅分配了1024个IP地址,然而该国在网络犯罪中的作用却十分显著。多个高调的活动被国际执法机构公开归因于朝鲜行为者,其中最新的一起是15亿美元的Bybit黑客事件。自然,要将网络犯罪规模扩大到朝鲜所归因的水平,需要的互联网资源远远超过1024个IP地址。实现这一目标的一种方式是派遣或雇佣大量IT工作人员到国外,让他们从那里工作。此外,大规模匿名化网络被用于隐藏与朝鲜相关的活动;这些匿名化层隐藏了恶意流量的来源,并使归因更加困难。
在本博客中,我们将讨论一些与朝鲜相关的活动如何源自五个俄罗斯IP范围。这些IP范围通过VPN层、代理层或RDP层隐藏起来。它们被分配给俄罗斯哈桑和哈巴罗夫斯克的两个组织。我们评估认为,与朝鲜相关的活动还利用了其他国家的互联网基础设施。
哈桑是俄罗斯的一个小镇,距离朝鲜和中国边境仅一英里。这里有一座名为朝俄友谊桥的铁路桥。哈巴罗夫斯克以其与朝鲜的经济和文化联系而闻名。因此,这两个小镇自然成为与朝鲜目标一致的网络犯罪活动的基地。我们发现,俄罗斯IP范围使用RDP连接到世界各地的众多VPS服务器,然后从那里执行任务,例如通过Skype、Telegram、Discord和Slack等应用程序进行通信,在招聘网站上联系外国IT专业人士,以及连接到加密货币相关网站,例如清空被盗的加密货币钱包或洗钱。
社会工程攻击与恶意软件传播
外国IT专业人士被联系作为常见的社会工程策略的一部分,该策略涉及用虚假的工作面试引诱软件开发人员。在这个计划中,开发人员申请在LinkedIn和其他招聘平台上广告的职位。所谓的招聘人员要求申请者完成特定任务作为面试过程的一部分。这些任务可能涉及调试或增强代码,申请者必须从知名的代码仓库(如GitHub、GitLab、Bitbucket或私有GitLab站点)下载这些代码。虽然这些仓库通常不直接托管恶意代码,但它们可能包含注入托管在第三方网站上的混淆有害脚本的代码。当申请者在他们的个人计算机或生产系统上运行下载的代码,而不是在隔离的虚拟环境中时,攻击者就获得了对申请者系统的访问权限。
一旦进入,攻击者可能会安装其他恶意软件,自动寻找敏感数据,如密码和加密货币钱包。然后他们可能会试图清空加密货币钱包并窃取其他敏感数据。一些受感染的设备通过安装合法的代理软件(如CCProxy)被集成到攻击者的匿名化基础设施中。
在另一个计划中,朝鲜IT工作人员在西方公司获得IT相关职位,并利用由居住在西方的共谋者操作的笔记本电脑农场。通过使用这些笔记本电脑农场,朝鲜IT工作人员可以向受害公司隐瞒他们为外国远程工作的事实。趋势研究评估认为,该计划与Beavertail恶意软件活动密切相关。
BlockNovas虚构公司分析
本博客还探讨了归因于Void Dokkaebi(也称为Famous Chollima)的Beavertail恶意软件活动集群。我们专注于一家名为BlockNovas的虚构公司,该公司拥有一个网站并在多个招聘平台(包括LinkedIn和Upwork)上存在。数百名申请者回应了BlockNovas的职位发布,其中 several 在面试过程中感染了恶意软件。BlockNovas发布了针对乌克兰、美国、德国和其他国家的Web3和区块链专家的职位空缺。BlockNovas使用了Beavertail和Invisible Ferret恶意软件,并采用了 tactics,其中申请者被引诱下载并执行恶意软件,以解决在自动化工作面试过程中笔记本电脑摄像头的虚构问题。
在调查BlockNovas时,我们发现匿名化层的较低级别是俄罗斯的IP范围,我们在本介绍中 earlier 提到过。另一个Beavertail命令与控制(C&C)服务器集群也通过来自相同俄罗斯IP范围的VPN、代理和RDP会话进行管理。
这使我们得出一个有趣的假设:关键的朝鲜进攻性网络活动是从或通过位于俄罗斯哈桑和哈巴罗夫斯克的互联网基础设施进行的;此类基础设施自2017年以来建立,并自2023年以来规模扩大。
BlockNovas详细信息
用于引诱受害者参加这些欺诈性面试的虚构公司之一是BlockNovas[.]com,它呈现出一个现代设计的网站,并声称活跃于区块链技术(图1)。它在社交媒体平台(如Facebook、X(前身为Twitter)、LinkedIn和各种招聘网站)上保持存在。这种在线存在旨在增强其可信度,并吸引不知情的软件开发人员申请不存在的职位。
BlockNovas可能使用人工智能(AI)来帮助他们创建在线角色并进行面试过程。技术领域的许多合法工作面试都在网上进行,这可能导致更多的工作申请者放松警惕。我们在LinkedIn和其他招聘网站上观察了BlockNovas一段时间,发现虚构的新BlockNovas员工在关键职位(如首席技术官(CTO))上似乎凭空出现。然而,这些个人资料通常在社交媒体网络上有一些历史,并且通常有数百名关注者。偶尔,受感染的账户也被用来放大新的职位发布。凭借乍一看可信的在线存在,BlockNovas可能已经吸引了数百名工作申请者。
2024年12月,BlockNovas在LinkedIn上广告了一个高级软件工程师的开放职位, specifically 针对乌克兰IT专业人士(图2)。此外,它还发布了针对美国、德国、厄瓜多尔和其他地区IT工人的职位空缺。截至2025年春季,BlockNovas继续在LinkedIn和Freelancer上发布新的职位空缺。
我们可以通过技术指标直接将BlockNovas与Beavertail C&C服务器联系起来,并发现一个BlockNovas自动化工作面试网站(图4)试图引诱申请者安装与Beavertail相关的恶意软件。
我们评估认为,主要目标仍然是从对加密货币、Web3、区块链技术和编程感兴趣的IT专业人士那里窃取加密货币。然而,也存在一种可能性,即当威胁行为者建立初始访问权限时,访问权限会移交给我一个更感兴趣于窃取信息的团队。例如,我们发现能源行业的公司也成为目标。当为这些行业建立初始访问权限且威胁行为者未找到可窃取的加密货币时,将初始访问权限移交给我更感兴趣于间谍活动的团队是威胁行为者的逻辑步骤。
3月,我们经历了BlockNovas[.]com的自动化面试过程,期间我们收到一条消息,称我们的摄像头需要软件更新(图3)。该软件更新是Mac上称为FrostyFerret和Windows上称为GolangGhost的恶意软件,尽管所涉及的C&C服务器被Beavertail和FrostyFerret共同使用。
BlockNovas[.]com创建于2024年7月16日,因此这是一个相当新的域名。其网站上声明的南卡罗来纳州地址 leads to 一块空地。我们还发现,该州的商业实体在线系统中没有名为BlockNovas的公司。
BlockNovas有一个状态页面,显示网站的在线状态,其中包括BlockNovas GitLab和一个已知的Beavertail恶意软件C&C域(图5)。BlockNovas的GitLab托管了已知的Beavertail恶意软件, both on their private GitLab and their real GitLab page。我们还在mail[.]BlockNovas[.]com(167[.]88[.]39[.]141)网站上发现了Hashtopolis,一个用于破解密码的工具(图11)。
4月23日,BlockNovas域名被联邦调查局(FBI)查封,作为针对朝鲜网络行为者的执法行动的一部分。
匿名化层分析
在分析与朝鲜相关的活动中使用的匿名化层时,我们发现某些俄罗斯IP地址在更深、更隐蔽的层中 repeatedly 使用。这些俄罗斯IP地址还偶尔连接到远程管理门户和与Beavertail相关IP地址相关的C&C系统。这些IP地址还 frequently 使用Astrill VPN。已知 several 与朝鲜相关的活动 heavily 依赖Astrill VPN来 obsc