俄罗斯基础设施在朝鲜网络犯罪行动中扮演关键角色
摘要
趋势科技研究团队发现多个俄罗斯IP地址范围被用于与朝鲜相关的网络犯罪活动,这些活动与Void Dokkaebi入侵集(也称为Famous Chollima)相关。这些俄罗斯IP地址范围通过大型匿名化网络隐藏,该网络使用商业VPN服务、代理服务器和大量带有RDP的VPS服务器。这些IP地址分配给哈桑和哈巴罗夫斯克的两家公司,哈桑距离朝鲜-俄罗斯边境仅一英里,而哈巴罗夫斯克以其与朝鲜的经济和文化联系而闻名。
趋势研究评估认为,朝鲜部署了IT工作者,他们通过俄罗斯IP范围中的两个IP地址和朝鲜的两个IP地址连接回本国。趋势科技的遥测数据强烈表明,这些与朝鲜结盟的IT工作者在中国、俄罗斯和巴基斯坦等地工作。
匿名化层分析
在分析朝鲜相关活动中使用的匿名化层时,我们发现某些俄罗斯IP地址在更深层、更隐蔽的层中反复使用。这些俄罗斯IP地址还偶尔连接到远程管理门户和与Beavertail相关的C&C系统。这些IP地址还频繁使用Astrill VPN。已知多个朝鲜相关活动严重依赖Astrill VPN来掩盖攻击来源。
为了混淆俄罗斯IP范围的使用,还采用了其他匿名化方法(图6)。除了Astrill VPN,RDP的使用尤为普遍。从俄罗斯IP范围访问了数十个RDP VPS服务器,然后这些服务器用于连接到Void Dokkaebi通常使用的服务提供商。这些服务包括通信平台(如Discord、Mattermost、Microsoft Teams、Skype、Slack和Telegram)、各种加密货币相关服务以及招聘网站(如LinkedIn和Upwork)。还访问了编码相关网站(如Visual Code和GitHub)。
俄罗斯IP范围详情
表1列出了用于疑似朝鲜相关活动的俄罗斯IP范围。
| IP范围 | ASN | 网络名称 | 创建日期 | 地区 |
|---|---|---|---|---|
| 80.237.84.0/24 | 20485 | KPOST-NET | 2024年9月7日 | 哈桑, 俄罗斯 |
| 80.237.87.0/24 | 20485 | SKYFREIGHT-NET | 2024年12月11日 | 哈桑, 俄罗斯 |
| 83.234.227.0/24 | 20485 | SKYFREIGHT-NET | 2023年6月2日 | 哈桑, 俄罗斯 |
| 188.43.136.0/24 | 20485 | KPOST-NET2 | 2017年9月12日 | 哈巴罗夫斯克, 俄罗斯 |
| 188.43.33.249-253 | 20485 | (通用网络名称) | 未确定 | 未确定 |
这些俄罗斯IP范围属于ASN AS20485,该ASN属于俄罗斯的TransTelecom。自2017年以来,TransTelecom一直充当朝鲜的第二上游互联网提供商。据报道,2017年在哈桑附近的朝俄友谊桥上铺设了光纤电缆,作为朝鲜的第二上游提供商。
BlockNovas虚构公司
用于引诱受害者进行欺诈性面试的虚构公司之一是BlockNovas[.]com,该公司拥有现代设计的网站,并声称活跃于区块链技术领域(图1)。它在社交媒体平台(如Facebook、X(前身为Twitter)、LinkedIn)和各种招聘网站上保持存在。这种在线存在旨在增强其可信度,吸引不知情的软件开发人员申请不存在的职位。
BlockNovas可能使用人工智能(AI)来帮助创建在线角色并进行面试过程。技术领域的许多合法面试都是在线上进行的,这可能导致更多求职者放松警惕。我们在LinkedIn和其他招聘网站上观察了BlockNovas一段时间,发现关键职位(如首席技术官)的虚构新BlockNovas员工似乎凭空出现。然而,这些个人资料通常在社交媒体网络上有一些历史,并且通常有数百名关注者。偶尔,受损账户也被用来放大新的职位发布。凭借乍一看可信的在线存在,BlockNovas可能已经接触了数百名求职者。
攻击手法
外国IT专业人员通过常见的社交工程策略被联系,该策略涉及用虚假面试引诱软件开发人员。在这种计划中,开发人员申请在LinkedIn和其他招聘平台上广告的职位。所谓的招聘人员要求申请人在面试过程中完成特定任务。这些任务可能涉及调试或增强代码,申请人必须从信誉良好的代码存储库(如GitHub、GitLab、Bitbucket或私有GitLab站点)下载这些代码。虽然这些存储库通常不直接托管恶意代码,但它们可能包含注入托管在第三方网站上的混淆有害脚本的代码。当申请人在其个人计算机或生产系统上运行下载的代码,而不是在隔离的虚拟环境中运行时,攻击者就可以访问申请人的系统。
一旦进入,攻击者可能会安装其他恶意软件,自动查找敏感数据(如密码和加密货币钱包)。然后,他们可能会尝试清空加密货币钱包并窃取其他敏感数据。一些受感染的设备通过安装合法代理软件(如CCProxy)集成到攻击者的匿名化基础设施中。
在另一种计划中,朝鲜IT工作者在西方公司获得IT相关工作,并利用由居住在西方的共谋者操作的笔记本电脑农场。通过使用这些笔记本电脑农场,朝鲜IT工作者可以向受害公司隐瞒他们为外国远程工作的事实。趋势研究评估认为,该计划与Beavertail恶意软件活动密切相关。
防护建议
为了帮助缓解像Void Dokkaebi这样的威胁,IT专业人员必须确保在要求进行代码审查或完成编码测试作为面试的一部分时,代码永远不会在生产服务器或任何公司或个人笔记本电脑上执行。相反,这些任务应在隔离的虚拟环境中进行。这种设置可以防止访问任何私人或敏感信息,防止潜在的数据泄露。测试完成后,应安全销毁虚拟环境以维护机密性。
在面试过程中,候选人还应警惕面试官的深度伪造或AI生成回答的任何迹象。例如,如果面试官在直接回答问题之前始终提供模糊或一般的答案,则可能是面试官使用AI来制定答案的迹象。意识到这些细微差别可以帮助确保更安全和真实的面试。
趋势Vision One™防护
组织可以使用趋势Vision One™保护自己免受此类威胁的侵害——这是唯一一个由AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和行业首个主动网络安全AI Trend Cybertron的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。借助趋势Vision One,您可以消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。
威胁指标(IOCs)
本博客讨论的IOC可由趋势Vision One检测和阻止。趋势Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取有关Void Dokkaebi的丰富上下文和最新更新。
结论
我们认为Void Dokkaebi的主要动机仍然是从受害者钱包中窃取加密货币。我们评估认为,并非所有与Beavertail相关的活动都采用相同的基础设施设置。这表明存在不同的网络犯罪分子单元,他们使用的方法和基础设施略有不同。一些Void Dokkaebi相关活动集群似乎源自俄罗斯的IP范围;其他可能源自中国、南美洲或巴基斯坦。公开报告提到,朝鲜派遣IT工作者到国外从那里实施网络犯罪。我们怀疑朝鲜也招募分叉者执行简单任务。我们发现的英文教学视频进一步证明了这一点。这表明,虽然设置Void Dokkaebi活动所需的技能不一定先进,但这些活动非常有效且可扩展。
我们预计Void Dokkaebi攻击的范围最终将扩展到包括更多类似间谍的活动。鉴于朝鲜行动者匿名化网络的深层部分在俄罗斯,某种形式的故意合作或基础设施共享在朝鲜和俄罗斯实体之间存在是合理的(置信度低至中等)。这种潜在合作的逻辑下一步是将对受害者组织的初始访问权交给对网络间谍活动更感兴趣的团体。