Sahte iş teklifleri, devlet destekli tehdit aktörlerinin COVID-19 pandemisinin ardından şüpheli olmayan hedefleri cezbetmeleri için en iyi kimlik avı taktiği haline geldi ve birçoğu vasıflı işçilere ve yöneticilere yönelik artan talep karşısında kariyerlerini yeniden gözden geçiriyor.
bu PwC’de siber tehdit analist ekibiBunun en önemli örneğini (Lazarus Grubu’nun In(ter)ception Operasyonu) yakından takip eden , Lazarus kampanyasının ayrıntılı bir hesabını ve grubun geçen haftaki stratejiyi nasıl uyguladığını sundu. Black Hat ABD 2022 konferansı Las Vegas’ta.
Asya-Pasifik bölgesinde Kuzey Kore’ye vurgu yaparak gelişmiş kalıcı tehditler (APT’ler) üzerinde çalışan PwC ana tehdit analisti Sveva Vittoria Scenarelli, risklerin yüksek olduğunu kaydetti.
Scenarelli, Black’teki sunumunda, “Bu, askeri sırlardan fikri mülkiyete ve stratejik öneme sahip gizli bilgilere kadar her şey için havacılık sektörünü, savunma sanayi üssünü, imalat kimyası sektörünü hedeflemede inanılmaz derecede ısrarcı olan casusluk güdümlü bir kampanyadır.” Dedi. adı verilen şapkaYetenek Gerekmez: Meslek Temalı APT Sosyal Mühendisliğinin Ticari Becerileri ve Amaçları“
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kabul eder ve tehdit aktörleri konusunda uyardı (aka APT38, Black Artemis, BlueNoroff, Hidden Cobra ve Stardust Chollima) “istihbarat toplamak, saldırılar düzenlemek ve gelir elde etmek için kötü niyetli siber faaliyetlerden yararlanın.”
Scenarelli, Lazarus’un WhatsApp gibi mesajlaşma uygulamaları aracılığıyla hedeflerini takip ettiğini açıkladı.
Bu, “kurbanların, tehdit aktörünün gönderdiği kötü niyetli görüntüleyici belgelerini veya kötü niyetli yürütülebilir dosyaları açtığından emin olmak için” dedi. “Black Artemis ayrıca etki alanları kuracak. Bu, yasal bir siteden geliyormuş gibi görünen e-postalar göndermek için kötü niyetli implantlarının komuta ve kontrolü için veya aslında bir ilk erişim yöntemi olarak Web istismarını gerçekleştirmek için olabilir.”
Scenarelli, Black Artemis’in, Google ve Oracle gibi yüksek profilli şirketlerde çekici pozisyonlarla, Indeed gibi önde gelen iş arama web sitelerini taklit eden alanlar oluşturduğunu açıkladı. Sahte olduklarına dair bariz işaretler olmasına rağmen, birçok sitenin meşru göründüğünün altını çizdi. Örneğin, Indeed tuzak site URL’sinin Indeed.US.org olduğunu söyledi. Scenarelli, .docx, .pdf veya .rtx dosyaları olarak gizlenen iş tanımlarının, kurbanlar belgelere tıkladığında, makroları etkinleştirebilecek şekilde başlatıldığını kaydetti.
Benzer şekilde, Scenarelli, grubun başka bir saldırısını hatırlattı. 625 milyon dolarla kaçtı kripto para biriminde. PwC araştırmacılarının “Black Alicanto” olarak adlandırdığı bu varyantın finansal olarak motive ve tehlikeli olduğu konusunda uyardı. Microsoft’un yakın zamanda Office belgelerindeki makroları devre dışı bırakmasının ardından Scenarelli, bu kötü amaçlı yazılımın, belki de parola korumalı Microsoft Word belgelerine gömülü .lnk dosyalarını kullanabileceğini söyledi.
“Tehdit aktörleri, ilk erişim tekniklerinde biraz değişiklik yapmak ve giderek daha fazla .lnk dosyası, ISO dosyası, MSI yükleyici ve benzeri şeyler kullanmak zorunda kalıyor” dedi. Ancak arka planda, .lnk dosyasının, PwC’nin “Lahana Yükleyici” olarak adlandırdığı kötü amaçlı bir JavaScript komut dosyasını indirmek için uzak bir sunucuya bağlanan MSHDA.exe’yi çağırdığını kaydetti.
Bu komut dosyası, “kalıcılığı sağlamak için kurbanın başlangıç klasörüne bir .lnk dosyası yerleştirir ve ardından bir dizi başka JavaScript yükünü aşağı çeker” diye açıkladı. “Bunlar, esasen, kendileriyle etkileşime giren gerçek kişinin bir sanal alan olmadığından, bir araştırmacı olmadığından emin olmak isteyen profilcilerdir, ancak aslında bir ilgi hedefidir.”
Scenarelli, Lazarus ve diğer Kuzey Kore merkezli tehdit aktörlerinin, eğitimlerine ve tehditlere karşı farkındalıklarına rağmen hazırlıksız yakalanabilecek yetenekli insanlara yönelik artan talebi kullanmaya devam ettiği sonucuna vardı.
“Şu anda iş piyasası, Kuzey Kore merkezli tehdit aktörleri için gerçekten önemli bir alan” dedi. “Öyleyse gözlerinizi dört açın, kiminle röportaj yaptığınızın farkında olun. Ve kutsal olan her şeyin aşkına, LinkedIn’de size gönderilen bağlantıları açmayın, açmayın.”