曹县黑客组织利用 ClickFix 传播 BeaverTail 恶意软件

与曹县有关联的威胁组织利用 ClickFix 诱饵来传播一种名为 BeaverTail 和 InvisibleFerret 的已知恶意软件。

GitLab 威胁情报研究员 Oliver Smith在上周发布的一份报告中表示： “威胁组织使用 ClickFix 诱饵来瞄准加密货币和零售行业组织中的营销和交易员角色，而不是软件开发角色。”

Palo Alto Networks于 2023 年底首次曝光 BeaverTail 和 InvisibleFerret 恶意软件，它们已被曹县APT组织部署，作为一项名为“传染性访谈”（又名 Gwisin Gang）的长期攻击活动的一部分。

该活动以工作评估为借口，将恶意软件分发给软件开发人员。该攻击集群被评估为Lazarus的一个分支，至少自 2022 年 12 月起就一直活跃。

多年来，BeaverTail 还通过伪造的 npm 软件包和欺诈性的 Windows 视频会议应用程序（例如 FCCCall 和 FreeConference）进行传播。该恶意软件由 JavaScript 编写，充当信息窃取程序，并下载基于 Python 的后门程序 InvisibleFerret。

该活动的一个重要进展是使用 ClickFix 社会工程策略来传播恶意软件，例如 GolangGhost、PylangGhost 和 FlexibleFerret——一个被追踪为ClickFake Interview的活动子集群。

最新一波攻击发生在 2025 年 5 月下旬：使用 ClickFix 来传递 BeaverTail（而不是 GolangGhost 或 FlexibleFerret），并以使用 pkg 和 PyInstaller 等工具为 Windows、macOS 和 Linux 系统生成的编译二进制文件的形式传递窃取程序。

使用 Vercel 创建的虚假招聘平台 Web 应用程序作为恶意软件的分发媒介，威胁组织在各种 Web3 组织中宣传加密货币交易员、销售和营销职位，并敦促目标投资 Web3 公司。

史密斯表示：“鉴于 BeaverTail 分销商通常关注软件开发商和加密货币领域，威胁组织针对营销申请人并冒充零售行业组织的行为值得注意。”

进入该网站的用户的公共 IP 地址会被捕获，并被要求完成对自己的视频评估，此时会显示一个关于不存在的麦克风问题的虚假技术错误，并要求他们执行特定于操作系统的命令来解决该问题，从而有效地通过 shell 脚本或 Visual Basic 脚本部署更精简版本的 BeaverTail。

GitLab 表示：“与此次攻击活动相关的 BeaverTail 变种包含简化的信息窃取程序，并且针对的浏览器扩展更少。该变种仅针对 8 个浏览器扩展，而其他 BeaverTail 变种则针对 22 个浏览器扩展。”

另一个重要的缺陷是删除了与从 Google Chrome 以外的其他浏览器窃取数据的功能。此外，还发现 Windows 版 BeaverTail 依赖于恶意软件附带的受密码保护的存档文件来加载与 InvisibleFerret 相关的 Python 依赖项。

虽然密码保护的压缩文件是各种威胁组织采用的一种相当常见的技术，但这是该方法首次用于与 BeaverTail 相关的有效载荷传递。

此外，野外恶意文件的低流行度以及缺乏社会工程技巧表明，该活动可能只是一次有限的测试，不太可能大规模部署。

GitLab 表示：“此次攻击活动表明，朝鲜 BeaverTail 运营者的一个分支略微调整了战术，不再局限于传统的软件开发人员，而是在加密货币和零售领域寻求营销和交易机会。转向编译恶意软件变种并继续依赖 ClickFix 技术，表明该组织已适应在未安装标准软件开发工具的情况下攻击技术含量较低的目标和系统。”

技术报告：

https://www.sentinelone.com/labs/contagious-interview-threat-actors-scout-cyber-intel-platforms-reveal-plans-and-ops/