HackerNews 编译,转载请注明出处:
网络安全专家发现,与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报(CTI)平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成,并将该活动与被称为“传染性面试”(Contagious Interview)的黑客集群联系起来,该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。
报告显示,在2025年3月至6月期间,该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内,黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址,不过Validin迅速封锁了这些账户。尽管如此,黑客又使用了新注册的域名创建了新账户回来。
持续尝试与策略调整
这些威胁行为者表现出极强的持久性,在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据,包括疑似使用Slack即时共享搜索结果。
黑客并未对其基础设施进行大规模更改以避免被发现,而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后,仍能维持较高的受害者接触频率。
基础设施侦察与操作安全(OPSEC)失误
研究人员观察到,该组织使用Validin不仅是为了追踪自身被发现的迹象,还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明,其正努力避免使用已被标记的资产。
然而,一些操作安全上的失误暴露了日志文件和目录结构,为了解其工作流程提供了罕见视角。
调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时,这些应用会发送电子邮件警报,并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间,主要来自加密货币行业的230多人受到影响。
活动目标与更广泛的影响
根据SentinelLabs的说法,“传染性面试”活动主要服务于朝鲜获取收入的需求,通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施,但其韧性来自于快速的重新部署和持续的受害者获取。
SentinelLabs解释称:“鉴于其活动在接触目标方面持续成功,对威胁行为者而言,部署新基础设施可能比维护现有资产更务实、更高效。”
报告强调,求职者保持警惕仍然至关重要,尤其是在加密货币领域。基础设施提供商也扮演着关键角色,快速的查封能显著干扰这些操作。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
