BeaverTail & InvisibleFerret
Contents
Uvod
Obravnavali smo zanimiv primer napada, pri katerem se napadalci lažno predstavljajo kot iskalci zaposlitve ali pa želijo kakšno drugo sodelovanje z neko organizacijo. Prvi kontakt praviloma vzpostavijo preko omrežja LinkedIn, nato pa poskušajo zavesti žrtev v zagon zlonamerne kode.
Njihov cilj so predvsem podjetja in posamezniki, ki se ukvarjajo z Web3 tehnologijo (pametne pogodbe, kriptovalute, tehnologija veriženja blokov…).
Tekom komunikacije napadalec pošlje povezavo do nekega predstavitvenega projekta, ki na prvi pogled zgleda povsem običajen in neškodljiv, vendar pa ob zagonu izvrši tudi zlonamerno kodo, ki ukrade podatke in vzpostavi stranska vrata do okuženega sistema.
Sama zlonamerna koda je razdeljena na dva glavna dela, ki sta znana po imenih BeaverTail in InvisibleFerret. Razlikujeta se po namenu in programskem jeziku, v katerem sta modula spisana: BeaverTail – Node.js, InvisibleFerret – Python.
Ta tehnični zapis se ne ukvarja z atribucijo napadalcev, raziskave in poročila nekaterih drugih varnostnih strokovnjakov pa povezujejo tovrstno prakso in zlonamerno kodo z aktivnostmi …
Obravnavali smo zanimiv primer napada, pri katerem se napadalci lažno predstavljajo kot iskalci zaposlitve ali pa želijo kakšno drugo sodelovanje z neko organizacijo. Prvi kontakt praviloma vzpostavijo preko omrežja LinkedIn, nato pa poskušajo zavesti žrtev v zagon zlonamerne kode.
Njihov cilj so predvsem podjetja in posamezniki, ki se ukvarjajo z Web3 tehnologijo (pametne pogodbe, kriptovalute, tehnologija veriženja blokov…).
Tekom komunikacije napadalec pošlje povezavo do nekega predstavitvenega projekta, ki na prvi pogled zgleda povsem običajen in neškodljiv, vendar pa ob zagonu izvrši tudi zlonamerno kodo, ki ukrade podatke in vzpostavi stranska vrata do okuženega sistema.
Sama zlonamerna koda je razdeljena na dva glavna dela, ki sta znana po imenih BeaverTail in InvisibleFerret. Razlikujeta se po namenu in programskem jeziku, v katerem sta modula spisana: BeaverTail – Node.js, InvisibleFerret – Python.
Ta tehnični zapis se ne ukvarja z atribucijo napadalcev, raziskave in poročila nekaterih drugih varnostnih strokovnjakov pa povezujejo tovrstno prakso in zlonamerno kodo z aktivnostmi …
IoC
http://23.106.253.221:1244/j/ZU1RINz7
http://23.106.253.221:1244/uploads
http://23.106.253.221:1244/j/
http://23.106.253.221:1244/any
http://HOME.vscode\test.js
http://23.106.253.221:1244/client/ZU1RINz7
http://HOME.vscode\package.json
http://23.106.253.221:1244
http://HOME.vscode
http://23.106.253.221:1244/keys
http://23.106.253.221:1244/pdown
http://23.106.253.221:1244/brow/ZU1RINz7
http://23.106.253.221:1244/payload/ZU1RINz7
http://23.106.253.221:1244/adc/ZU1RINz7
https://github.com/0xcestlaview/addingtoken
http://23.106.253.221:1244/p
173.211.106.101
23.106.253.221
335ad22f143ff050bb405cd48d0011a9eb9f4c7501b18781a42d3956718827c8
6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0
4f632429fedb39fa2addaeff3ba900679ebff99e45353d523776831e2558df80
95e3cbaac2749928598928c3b8ca80358c136e01bc429d2c2da77cc788566e1e
354e7014103783c2096b9f29e4eed11f79d19b13bda112b6fed4ffbf3ad438b9
6b331ab212a839ad1b1b673ca74a3c50c6dae383c19661e0ae71853f615aa891
f46b47e859f321b6676289f3637538b60e1d7d97ee8d79b8ba9d12248858a75a
http://23.106.253.221:1244/uploads
http://23.106.253.221:1244/j/
http://23.106.253.221:1244/any
http://HOME.vscode\test.js
http://23.106.253.221:1244/client/ZU1RINz7
http://HOME.vscode\package.json
http://23.106.253.221:1244
http://HOME.vscode
http://23.106.253.221:1244/keys
http://23.106.253.221:1244/pdown
http://23.106.253.221:1244/brow/ZU1RINz7
http://23.106.253.221:1244/payload/ZU1RINz7
http://23.106.253.221:1244/adc/ZU1RINz7
https://github.com/0xcestlaview/addingtoken
http://23.106.253.221:1244/p
173.211.106.101
23.106.253.221
335ad22f143ff050bb405cd48d0011a9eb9f4c7501b18781a42d3956718827c8
6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0
4f632429fedb39fa2addaeff3ba900679ebff99e45353d523776831e2558df80
95e3cbaac2749928598928c3b8ca80358c136e01bc429d2c2da77cc788566e1e
354e7014103783c2096b9f29e4eed11f79d19b13bda112b6fed4ffbf3ad438b9
6b331ab212a839ad1b1b673ca74a3c50c6dae383c19661e0ae71853f615aa891
f46b47e859f321b6676289f3637538b60e1d7d97ee8d79b8ba9d12248858a75a