俄罗斯基础设施在朝鲜网络犯罪行动中的关键作用
摘要
趋势科技研究团队发现多个俄罗斯IP地址范围被用于与朝鲜相关的网络犯罪活动,这些活动与Void Dokkaebi入侵集(也称为Famous Chollima)相关。这些俄罗斯IP地址范围通过大型匿名化网络隐藏,该网络使用商业VPN服务、代理服务器和大量带有RDP的VPS服务器。这些IP地址分配给哈桑和哈巴罗夫斯克的两家公司,哈桑距离朝俄边境仅一英里,哈巴罗夫斯克则以与朝鲜的经济和文化联系闻名。
趋势研究评估认为,朝鲜部署了IT工作人员,他们通过俄罗斯IP范围中的两个IP地址和朝鲜的两个IP地址连接回本国。趋势科技的遥测数据强烈表明,这些与朝鲜结盟的IT工作人员在中国、俄罗斯和巴基斯坦等地工作。
根据趋势研究的评估,与朝鲜结盟的行为者使用俄罗斯IP范围通过RDP连接到数十个VPS服务器,然后执行诸如在招聘网站上互动和访问加密货币相关服务等任务。他们用于破解加密货币钱包密码的暴力破解活动所涉及的一些服务器位于其中一个俄罗斯IP范围内。
还发现了带有非母语英语文本的教学视频,详细介绍了如何设置Beavertail恶意软件命令与控制服务器以及如何破解加密货币钱包密码。这使得朝鲜可能与外国共谋者合作的可能性增加。
乌克兰、美国和德国的IT专业人士在这些活动中成为目标,他们被虚构公司引诱参加欺诈性工作面试。趋势研究评估认为,Void Dokkaebi的主要重点是窃取对加密货币、Web3和区块链技术感兴趣的软件专业人士的加密货币。
Trend Vision One™检测并阻止了本博客中讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取有关Void Dokkaebi的丰富背景和最新更新。
朝鲜的网络犯罪规模与匿名化需求
朝鲜互联网访问稀缺;其国家网络仅分配了1024个IP地址,但该国在网络犯罪中的作用显著。多个高调活动被国际执法部门公开归因于朝鲜行为者,其中最新的是15亿美元的Bybit黑客事件。自然,要将网络犯罪规模扩大到归因于朝鲜的水平,需要的互联网资源远远超过1024个IP地址。实现这一目标的一种方式是派遣或雇佣大量IT工作人员到国外,让他们从那里工作。此外,大规模匿名化网络被用于隐藏与朝鲜相关的活动;这些匿名化层隐藏了恶意流量的来源,使归因更加困难。
在本博客中,我们将讨论一些与朝鲜相关的活动如何源自五个俄罗斯IP范围。这些IP范围通过VPN层、代理层或RDP层隐藏。它们被分配给俄罗斯哈桑和哈巴罗夫斯克的两个组织。我们评估认为,与朝鲜相关的活动还利用其他国家的互联网基础设施。
哈桑是俄罗斯的一个小镇,距离朝鲜和中国边境仅一英里。它是朝俄友谊桥的所在地。哈巴罗夫斯克以与朝鲜的经济和文化联系闻名。因此,这两个小镇自然成为与朝鲜目标一致的网络犯罪行动的基地。我们发现,俄罗斯IP范围使用RDP连接到世界各地的众多VPS服务器,然后从那里执行任务,例如通过Skype、Telegram、Discord和Slack等应用程序通信,在招聘网站上联系外国IT专业人士,以及连接到加密货币相关网站,例如清空被盗的加密货币钱包或洗钱。
社会工程攻击与恶意软件分发
外国IT专业人士被联系作为常见社会工程策略的一部分,该策略涉及用虚假工作面试引诱软件开发人员。在这个计划中,开发人员申请在LinkedIn和其他招聘平台上广告的职位。所谓的招聘人员要求申请者完成特定任务作为面试过程的一部分。这些任务可能涉及调试或增强代码,申请者必须从信誉良好的代码存储库(如GitHub、GitLab、Bitbucket或私有GitLab站点)下载这些代码。虽然这些存储库通常不直接托管恶意代码,但它们可能包含注入托管在第三方网站上的混淆有害脚本的代码。当申请者在个人计算机或生产系统上运行下载的代码,而不是在隔离的虚拟环境中时,攻击者获得对申请者系统的访问权限。
一旦进入,攻击者可能会安装其他恶意软件,自动查找敏感数据,如密码和加密货币钱包。然后他们可能继续尝试清空加密货币钱包并窃取其他敏感数据。一些受感染的设备通过安装合法的代理软件(如CCProxy)被集成到攻击者的匿名化基础设施中。
在另一个计划中,朝鲜IT工作人员在西方公司获得IT相关工作,并利用由居住在西方的共谋者操作的笔记本电脑农场。通过使用这些笔记本电脑农场,朝鲜IT工作人员可以向受害公司隐瞒他们为外国远程工作的事实。趋势研究评估认为,该计划与Beavertail恶意软件活动密切相关。
BlockNovas虚构公司分析
本博客还探讨了归因于Void Dokkaebi(也称为Famous Chollima)的Beavertail恶意软件活动集群。我们专注于一家名为BlockNovas的虚构公司,该公司拥有网站并在多个招聘平台(包括LinkedIn和Upwork)上存在。数百名申请者回应了BlockNovas的职位发布,其中几人在面试过程中感染了恶意软件。BlockNovas发布了针对乌克兰、美国、德国和其他国家的Web3和区块链专家的职位空缺。BlockNovas使用了Beavertail和Invisible Ferret恶意软件,并采用了在自动化工作面试过程中引诱申请者下载和执行恶意软件以解决虚构笔记本电脑摄像头问题的策略。
在调查BlockNovas时,我们发现匿名化层的较低级别是俄罗斯的IP范围,我们在介绍中提到了这一点。另一个Beavertail命令与控制(C&C)服务器集群也通过来自相同俄罗斯IP范围的VPN、代理和RDP会话进行管理。
这使我们得出一个有趣的假设:关键的朝鲜进攻性网络活动是从或通过位于俄罗斯哈桑和哈巴罗夫斯克镇的互联网基础设施进行的;此类基础设施自2017年以来建立,并自2023年以来规模扩大。
匿名化层与俄罗斯IP范围分析
在分析与朝鲜相关的活动中使用的匿名化层时,我们发现某些俄罗斯IP地址在更深、更隐蔽的层中反复使用。这些俄罗斯IP地址还偶尔连接到远程管理门户和与Beavertail相关IP地址相关的C&C系统。这些IP地址还经常使用Astrill VPN。已知几个与朝鲜相关的活动严重依赖Astrill VPN来隐藏攻击来源。因此,我们评估认为,与朝鲜结盟的行为者有时未能使用VPN服务或代理,从而在俄罗斯泄露了他们的真实IP地址。
为了混淆俄罗斯IP范围的使用,还采用了其他匿名化方法(图6)。除了Astrill VPN,RDP的使用尤为普遍。从俄罗斯IP范围访问数十个RDP VPS服务器,然后这些服务器用于连接到Void Dokkaebi通常使用的服务提供商。这些服务包括通信平台,如Discord、Mattermost、Microsoft Teams、Skype、Slack和Telegram。此外,经常访问各种加密货币相关服务和招聘网站,如LinkedIn和Upwork。还访问编码相关网站,如Visual Code和GitHub。鉴于Void Dokkaebi相关网络犯罪分子的可能地理分布,可能会采用其他来源和匿名化技术。
有一次,我们获得了来自2025年1月的显式代理日志,源自受损云实例上的CCProxy安装。代理日志显示了与朝鲜操作一致的活动。代理被俄罗斯IP地址188[.]43[.]33[.]251访问,我们已经标记该IP地址用于潜在的朝鲜网络犯罪活动。该IP地址一直访问朝鲜行为者通常使用的互联网服务,如:
- Aptos @ Sui Wallet
- Astrill VPN
- DeBank
- Dropbox
- Exodus Wallet
- GitHub
- Keplr Wallet
- Rabby Wallet
- Reown
- SMSPool
- Skype
- Sprig
- Telegram
- Terabox
- Upwork
- Visual Studio
我们在表1中列出了用于疑似朝鲜相关活动的俄罗斯IP范围。
| IP范围 | ASN | 网络名称 | 创建时间 | 地区 |
|---|---|---|---|---|
| 80.237.84.0/24 | 20485 | KPOST-NET | 2024年9月7日 | 哈桑, 俄罗斯 |
| 80.237.87.0/24 | 20485 | SKYFREIGHT-NET | 2024年12月11日 | 哈桑, 俄罗斯 |
| 83.234.227.0/24 | 20485 | SKYFREIGHT-NET | 2023年6月2日 | 哈桑, 俄罗斯 |
| 188.43.136.0/24 | 20485 | KPOST-NET2 | 2017年9月12日 | 哈巴罗夫斯克, 俄罗斯 |
| 188.43.33.249 188.43.33.250 188.43.33.251 188.43.33.252 188.43.33.253 | 20485 | (通用网络名称) | 未确定 | 未确定 |
表1. 具有疑似朝鲜网络犯罪活动的俄罗斯IP范围。地理位置基于RIPE whois数据。
我们还以低置信度评估认为,188[.]43[.]136[.]0/24中的两个IP地址经常被朝鲜结盟的IT工作人员用于向本国报告。这两个IP地址表现出与分配给朝鲜自治系统网络(ASN)的175[.]45[.]176[.]0/22中的另外两个IP地址类似的模式。我们怀疑这两个朝鲜IP地址也用于从朝鲜工作人员被部署进行进攻性网络攻击的外国站点连接回来。更具体地说,我们有证据表明这些IP地址从中国、俄罗斯、巴基斯坦和其他地区连接,这些地区也表现出朝鲜结盟的网络活动。我们评估认为以下IP地址被国外朝鲜结盟行为者用于连接回朝鲜;相关评估在此处进行:
- 175[.]45[.]176[.]21
- 175[.]45[.]176[.]22
- 188[.]43[.]136[.]115
- 188[.]43[.]136[.]116
表1中的俄罗斯IP范围属于ASN AS20485,该ASN属于俄罗斯的TransTelecom。自2017年以来,TransTelecom一直充当朝鲜的第二上游互联网提供商。据报道,2017年,一条光纤电缆被铺设到哈桑附近的朝俄友谊桥上(图7),形成朝鲜的第二上游提供商。IP范围188[.]43[.]136[.]0/24在TransTelecom开始作为朝鲜上游提供商时在RIPE注册。此外,另外两个最近的IP范围被分配给俄罗斯哈桑的组织。自2022年以来,通过卫星图像观察到哈桑的活动增加。哈桑火车站被认为 facilitates the transport of people and freight over the bridge into North Korea.
教学视频与共谋者证据
我们获得了七个带有非母语英语文本的视频,这些视频详细解释了如何设置Beavertail C&C服务器的组件(表3)。这加强了我们的理论,即这些视频针对核心行为者组之外技能较低的共谋者。除其他外,视频详细介绍了如何在这些服务器上设置Dropbox帐户和更改代码。这些视频可能是在2025年1月底通过RDP会话到Beavertail C&C服务器95[.]164[.]18[.]177时由使用BlockNovas[.]com帐户登录的人创建的。在视频中,可见创建了一个新的免费Dropbox帐户,使用另一个BlockNovas[.]com电子邮件地址,并且Dropbox的确认电子邮件立即到达系统,如屏幕上新电子邮件通知所示(图9)。我们认为视频创建者很可能从俄罗斯IP地址188[.]43[.]33[.]251连接到Beavertail C&C服务器。我们无法确定该人是否与IP地址188[.]43[.]33[.]251在同一地理位置,但我们认为这是一个合理的选项。在其中一个视频中,还解释了如何破解加密货币钱包密码。设置用于协助这些计算昂贵任务的服务器之一是IP地址188[.]43[.]33[.]250。
| 视频 | 内容摘要 |
|---|---|
| 视频1 | 关于如何使用node.js和调整一些代码的说明。关于如何注册Dropbox的说明。 |
| 视频2 | 关于如何安装和使用Dropbox的说明。关于如何设置FTP服务器的说明。 |
| 视频3 | 对Beavertail恶意软件C&C上脚本的解释。关于如何解码C&C脚本、替换硬编码C&C然后重新编码脚本的说明。 |
| 视频4 | 关于如何通过websocket访问受感染主机的说明。关于如何将加密货币钱包的被盗信息上传到Dropbox的说明。关于如何检查加密货币钱包余额的说明。 |
| 视频5 | 关于如何使用浏览器中存储的密码以及如何破解加密货币钱包密码的说明。 |
| 视频6 | 关于如何安装Windows Internet Information Services (IIS)的说明。 |
| 视频7 | 关于如何使用Hashcat和Hastopolis破解密码的详细说明。 |
表3. 七个视频的内容
展望与结论
我们相信Void Dokkaebi的主要动机仍然是窃取受害者钱包中的加密货币。我们评估认为,并非所有与Beavertail相关的活动都采用相同的基础设施设置。这表明存在不同的网络犯罪分子单元,他们使用的方法和基础设施略有不同。一些Void Dokkaebi相关活动集群似乎源自俄罗斯的IP范围;其他可能源自中国、南美洲或巴基斯坦。公开报告提到朝鲜派遣IT工作人员到国外从那里实施网络犯罪。我们怀疑朝鲜还招募分叉者执行简单任务。我们找到的英语教学视频进一步证明了这一点。这表明,虽然设置Void Dokkaebi活动所需的技能不一定高级,但这些活动非常有效且规模良好。
我们预计Void Dokkaebi攻击的范围最终将扩展到包括更多类似间谍活动。鉴于朝鲜行为者匿名化网络的深层部分在俄罗斯,以低到中等置信度认为,朝鲜与俄罗斯实体之间存在某种形式的故意合作或基础设施共享是合理的。这种潜在合作的逻辑下一步是将对受害者组织的初始访问权交给对网络间谍活动更感兴趣的团体。
为了帮助缓解像Void Dokkaebi这样的威胁,IT专业人士确保在要求进行代码审查或完成编码测试作为面试一部分时,代码从未在生产服务器或任何公司或个人笔记本电脑上执行至关重要。相反,这些任务应在隔离的虚拟环境中进行。这种设置防止访问任何私人或敏感信息,保护 against potential data exfiltration。测试完成后,虚拟环境应安全销毁以维护机密性。
在面试过程中,候选人还应保持警惕,注意面试官的任何深度伪造或AI生成回答的迹象。例如,如果面试官在直接回答问题之前 consistently provides vague or general answers,可能是面试官使用AI制定答案的迹象。意识到这些细微差别可以帮助确保更安全和真实的面试。
proactive security with Trend Vision One™
组织可以使用Trend Vision One™保护自己免受此类威胁 – 唯一由AI驱动的企业网络安全平台,集中网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron(行业首个主动网络安全AI)的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化他们的态势并向利益相关者展示持续改进。通过Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。
Trend Vision One威胁情报
为了领先于不断演变的威胁,Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在 cyber threats happen之前保持领先,并通过提供有关威胁行为者、其恶意活动及其技术的全面信息,让他们为新兴威胁做好准备。通过利用这种情报,客户可以采取主动步骤保护其环境、减轻风险并有效应对威胁。
狩猎查询
Trend Vision One客户可以使用搜索应用程序匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。
Beavertail恶意软件检测查询:
|
|
更多狩猎查询可用于具有威胁洞察权限的Trend Vision One客户。
危害指标(IOC)
本文章的危害指标可在此处找到。
附加见解来自Fyodor Yarochkin。