Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru

Útočníci vydávající se za náboráře, se snaží obětem podsunout soubory s projektem k vypracování v rámci domnělého výběrového řízení - ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí.

Aktivity skupiny, kterou výzkumní analytici společnosti ESET nazvali DeceptiveDevelopment, se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně za účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.

Kyberbezpečnostní analytici společnosti ESET pozorují sérii popsaných aktivit již od roku 2024. Oběťmi útoků jsou nezávislí vývojáři softwaru, které se útočníci snaží manipulovat prostřednictvím spearphishingových útoků. Nabízejí obětem falešné nabídky práce na pracovních platformách a webových stránkách.

Cílem je odcizit přístupové údaje do jejich kryptoměnových peněženek a další přihlašovací údaje uložené ve webových prohlížečích a specializovaných programech pro správu hesel, tzv. správcích hesel.

"Útočníci z DeceptiveDevelopment v rámci falešného pracovního pohovoru od svých obětí požadují, aby absolvovali test programování. Mají např. přidat funkce do existujícího projektu. Soubory určené ke splnění tohoto úkolu jsou obvykle umístěny v soukromých repozitářích na GitHubu nebo na jiných podobných platformách. Nadšený kandidát na zajímavou pracovní pozici se ale v tomto případě setká se soubory obsahujícími malware. Jakmile soubor s projektem stáhne a spustí, dojde ke kompromitaci jeho zařízení. Aby se útočníci dostali ke svým potenciálním obětem, vytvářejí falešné profily náborářů na sociálních sítích nebo zneužívají již existující profily. Geograficky své oběti nerozlišují a případy jejich aktivit evidujeme celosvětově. Několik desítek případů jsme zachytili také v České republice. Snaží se zacílit na co největší počet lidí, aby tím zvýšili pravděpodobnost zisku finančních prostředků a informací," vysvětluje Matěj Havránek, výzkumný analytik pražské pobočky společnosti ESET, který aktivity DeceptiveDevelopment objevil a analyzoval.

Útočníci z DeceptiveDevelopment jsou další skupinou, která svými postupy a technikami doplňuje a rozšiřuje řady aktérů napojených na režim v Severní Koreji. Jejich aktivity jsou také v souladu s pokračujícím trendem, kdy se pozornost útočníků přesouvá z tradičních peněz na kryptoměny

Taktiky, techniky a postupy skupiny DeceptiveDevelopment

Aktivity skupiny DeceptiveDevelopment jsou podobné několika dalším známým operacím, které jsou spojovány s jinými severokorejskými útočníky. Útočníci z DeceptiveDevelopment cílí na vývojáře operačních systémů Windows, Linux a macOS. Kromě finančního zisku z krádeží kryptoměn může být jejich dalším cílem také kyberšpionáž.

Útočníci primárně využívají při svých škodlivých aktivitách dvě rodiny malwaru.

Fáze útoku

• V první fázi slouží škodlivý kód BeaverTail (infostealer a downloader) k odcizení přihlašovacích údajů z databází webových prohlížečů a ke stažení škodlivých kódů pro druhou fázi. V té pak útočníci zapojí škodlivý kód InvisibleFerret (infostealer, RAT), který obsahuje také funkce spywaru a tzv. zadních vrátek (backdooru).

• Poté, co dojde k napadení zařízení a odcizení cílových údajů, mohou útočníci do zařízení stáhnout také legitimní software AnyDesk pro vzdálenou správu a monitorování. Pokud jim totiž zařízení oběti přijde dostatečně zajímavé, později se k němu vrátí, aby získali další data.

Útočníci vydávající se za náboráře přímo oslovují své potenciální oběti na pracovních platformách a platformách pro freelancery, nebo tam zveřejňují falešné pracovní nabídky. Zatímco některé profily útočníci sami vytvoří, v některých případech se jedná také o profily skutečných náborářů, nad kterými útočníci převzali kontrolu a upravili je pro své účely.

Některé z těchto platforem jsou obecně určené k hledání a nabídkám práce, jiné se ale již primárně zaměřují na kryptoměnové a blockchainové projekty a jsou tedy více v souladu s cíli útočníků.

Mezi platformy, na kterých útočníci operují, patří např. známý LinkedIn a dále to jsou Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List.

Oběti obdrží soubory s projekty buď přímo prostřednictvím přenosu souborů v rámci webových stránek, nebo prostřednictvím odkazu na repozitáře služeb GitHub, GitLab nebo Bitbucket. Útočníci instruují vývojáře k tomu, aby soubory stáhli, přidali do projektů funkce či opravili chyby a následně domnělému náboráři dali vědět o dokončení požadovaného úkolu.

Kromě toho po nich útočníci také chtějí, aby upravený soubor spustili a tím otestovali. Právě v této části útočného scénáře dojde k nakažení zařízení škodlivými kódy.

Útočníci k tomu, aby ukryli škodlivé kódy v souboru s projektem, využívají chytrý trik - umístí je do jinak neškodné části souboru, obvykle do kódu, který nijak s úkolem nesouvisí a zůstává skrytý.

Článek ESET software spol. s r. o. ze dne středa 26. února 2025

Další články od ESET software spol. s r. o.