朝鲜黑客部署新的“AkdoorTea”后门

斯洛伐克网络安全公司 ESET 的一项最新研究显示，朝鲜黑客正在加强针对加密货币和 Web3 开发人员的全球行动，使用名为 AkdoorTea 的新后门渗透受害者的系统。

该行动以 DeceptiveDevelopment 的名称进行追踪，与 Contagious Interview、DEV#POPPER 和 Void Dokkaebi 等活动重叠。

攻击者主要针对 Windows、Linux 和 macOS 环境中的软件开发人员，通过在 LinkedIn、Upwork、Freelancer 和 Crypto Jobs List 等求职平台上冒充招聘人员，引诱他们下载带有恶意软件的项目。

“DeceptiveDevelopment 的工具集主要是多平台的，由 Python 和 JavaScript 中的初始模糊恶意脚本、Python 和 Go 中的基本后门以及 .NET 中的暗网项目组成，”ESET 研究人员 Peter Kálnai 和 Mat?j Havránek写道在周四发布的一份报告中。

骗局是如何运作的 

攻击者冒充招聘人员提供虚假的、利润丰厚的工作机会来吸引目标的兴趣。一旦目标对虚假工作机会表现出兴趣，他们就会被引导完成以下挑战：

编码作业– 克隆木马化的 GitHub 项目，秘密安装恶意软件。

视频评估– 虚假采访网站显示虚假摄像头或麦克风错误并提示受害者运行终端命令（“ClickFix”技术）。

黑客的工具包包括窃取信息的恶意软件：

• BeaverTail、InvisibleFerret 和 WeaselStore– 信息窃取恶意软件能够从加密货币钱包、钥匙串和保存的浏览器登录信息中窃取数据。
• 海啸套件– 一个多阶段工具包，用于设置持久性、部署 .NET 间谍软件并安装 XMRig 和 NBMiner 等加密矿工。
• Tropidoor 和 PostNapTea– 与 Lazarus 操作相关的复杂远程访问木马，具有屏幕捕获、系统侦察和文件操作等功能。
• 阿克多尔茶– 最新的有效负载，隐藏在伪装成 NVIDIA 驱动程序更新的文件中，可在通过 BeaverTail 启动后启用远程控制。

混合威胁模型 

ESET 指出，该活动与朝鲜的秘密 IT 工人计划（称为 WageMole）有关。在这次行动中，工人们使用被盗或人工智能生成的身份来确保远程工作的安全，甚至在视频面试期间依靠实时换脸工具。然后，通过恶意软件活动窃取的信息将被回收，以使这些欺诈性就业计划更加有效。

更多阅读：印度政府系统遭受攻击：黑客部署虚假快捷方式文件

影响

ESET 研究人员指出，欺骗性开发较少依赖于技术复杂性，而更多地依赖于创造性的社会工程和暗网工具的重用。

ESET 研究人员补充道：“尽管该组织经常缺乏技术成熟度，但它通过规模和创造性的社会工程进行了弥补。其活动展示了一种务实的方法，利用开源工具，重用可用的暗网项目，改编可能从其他与朝鲜结盟的组织租用的恶意软件，并通过虚假的工作机会和面试平台利用人类的漏洞。”

“朝鲜 IT 工人的活动构成了混合威胁。这种雇佣欺诈计划将身份盗窃和合成身份欺诈等传统犯罪活动与数字工具结合起来，将其归类为传统犯罪和网络犯罪（或电子犯罪）。”

双重威胁：恶意软件和欺诈性招聘

专家警告称，朝鲜黑客正在将恶意软件驱动的加密货币盗窃与欺诈性 IT 招聘结合起来，凸显了国家支持的间谍活动与有组织的网络犯罪之间的模糊界限。这造成了一种混合威胁，使开发商和雇主都面临风险。

求职者面临着系统受损的风险，而公司则面临着在不知不觉中雇佣受制裁的朝鲜特工的风险，这些人后来可能成为内部威胁——这凸显了加强招聘检查和更加警惕的网络安全防御的迫切需要。