Kuzey Kore ile bağlantılı tehdit aktörleri, 2020 yılından bu yana Brezilya’yı hedef alan tüm kimlik avı faaliyetlerinin üçte birini oluşturuyor. Ülkenin etkili bir güç olarak ortaya çıkışı siber casusluk gruplarının dikkatini çekti.
Google’ın Mandiant ve Tehdit Analiz Grubu (TAG) bölümleri, “Kuzey Kore hükümeti destekli aktörler Brezilya hükümetini ve Brezilya’nın havacılık, teknoloji ve finansal hizmetler sektörlerini hedef aldı.” söz konusu bu hafta yayınlanan ortak bir raporda.
“Diğer bölgelerdeki hedefleme çıkarlarına benzer şekilde, kripto para birimi ve finansal teknoloji firmaları da özel bir odak noktası oldu ve en az üç Kuzey Koreli grup, Brezilya kripto para birimi ve fintech şirketlerini hedef aldı.”
Bu gruplar arasında öne çıkan, kötü amaçlı yazılım içeren truva atı haline getirilmiş Python uygulamasıyla kripto para birimi profesyonellerini hedef alan UNC4899 (aka Jade Sleet, PUKCHONG ve TraderTraitor) olarak takip edilen bir tehdit aktörüdür.
Saldırı zincirleri, sosyal medya aracılığıyla potansiyel hedeflere ulaşmayı ve tanınmış bir kripto para birimi firmasında iddia edilen bir iş fırsatı için iş tanımını içeren iyi huylu bir PDF belgesi göndermeyi içeriyor.
Hedefin iş teklifiyle ilgilendiğini belirtmesi durumunda tehdit aktörü, GitHub’dan bir proje indirerek bir kodlama ödevini tamamlama talimatlarını ve beceri anketini içeren ikinci bir zararsız PDF belgesi göndererek bunu takip eder.
Mandiant ve TAG araştırmacıları, “Proje, belirli koşulların karşılanması durumunda ikinci aşama yükünü almak üzere saldırgan tarafından kontrol edilen bir alana ulaşacak şekilde değiştirilmiş, kripto para birimi fiyatlarını almak için truva atı haline getirilmiş bir Python uygulamasıydı.” dedi.
Bu, 2023 JumpCloud saldırısına atfedilen UNC4899’un bu yaklaşımı ilk kez kullanması değil. Temmuz 2023’te GitHub, blockchain, kripto para birimi, çevrimiçi kumar ve siber güvenlik şirketlerinde çalışan çalışanları sahte npm paketleri kullanarak GitHub deposunda barındırılan kodu çalıştırmaları için kandırmayı amaçlayan bir sosyal mühendislik saldırısı konusunda uyardı.
İş temalı sosyal mühendislik kampanyaları, Kuzey Koreli bilgisayar korsanlığı grupları arasında yinelenen bir tema; teknoloji devi aynı zamanda PAEKTUSAN olarak takip ettiği bir grup tarafından AGAMEMNON olarak adlandırılan bir C++ indirici kötü amaçlı yazılımını kimlik avı e-postalarına gömülü Microsoft Word ekleri aracılığıyla dağıtmak için düzenlenen bir kampanyayı da tespit etti. .
Araştırmacılar, “Bir örnekte, PAEKTUSAN, Brezilyalı bir havacılık firmasının İK direktörünün kimliğine bürünen bir hesap oluşturdu ve bunu ikinci bir Brezilyalı havacılık firmasının çalışanlarına kimlik avı e-postaları göndermek için kullandı.” diyen araştırmacılar, kampanyaların uzun süredir devam eden bir faaliyetle tutarlı olduğunu da sözlerine ekledi. Dream Job Operasyonu olarak takip ediliyor.
“Ayrı bir kampanyada PAEKTUSAN, büyük bir ABD havacılık ve uzay şirketinde personel alımı görevlisi kılığına girdi ve olası iş fırsatları hakkında Brezilya ve diğer bölgelerdeki profesyonellere e-posta ve sosyal medya aracılığıyla ulaştı.”
Google ayrıca, PRONTO adlı başka bir Kuzey Koreli grubun diplomatları nükleer silahlardan arınma ve haberlerle ilgili e-posta tuzaklarıyla hedef alarak onları kimlik bilgileri toplama sayfalarını ziyaret etmeleri veya sözde bir PDF belgesini görüntülemek için giriş bilgilerini sağlamaları yönünde kandırma girişimlerini engellediğini söyledi.
Bu gelişme, Microsoft’un, yazılım ve bilgi teknolojisi, eğitim ve savunma sanayi temel sektörlerindeki bireyleri ve kuruluşları hem fidye yazılımı hem de casusluk saldırılarıyla hedef alan, kod adı Moonstone Sleet olan Kuzey Kore kökenli, daha önce belgelenmemiş bir tehdit aktörüne ışık tutmasından haftalar sonra geldi. .
Moonstone Sleet’in dikkate değer taktikleri arasında kötü amaçlı yazılımların sahte npm paketleri aracılığıyla dağıtılması yer alıyor npm kayıt defterinde yayınlandıUNC4899’unkini yansıtıyor. Bununla birlikte, iki kümeyle ilişkili paketler farklı kod stilleri ve yapıları taşır.
Checkmarx araştırmacıları Tzachi Zornstein ve Yehuda Gelb, “Jade Sleet’in 2023 yazında keşfedilen paketleri, her çiftin kötü amaçlı işlevlerini dağıtmak için ayrı bir npm kullanıcı hesabı tarafından yayınlandığı çiftler halinde çalışacak şekilde tasarlandı.” söz konusu.
“Buna karşılık, 2023’ün sonlarında ve 2024’ün başlarında yayınlanan paketler, yükünü kurulumdan hemen sonra uygulayacak daha akıcı bir tek paket yaklaşımını benimsedi. 2024’ün ikinci çeyreğinde, saldırganların şaşırtmaca eklemesi ve aynı zamanda Linux sistemlerini de hedef alıyor.”
Farklılıklar ne olursa olsun, bu taktik kullanıcıların açık kaynak kod depolarına duyduğu güveni kötüye kullanıyor, tehdit aktörlerinin daha geniş bir hedef kitleye ulaşmasına olanak tanıyor ve kötü amaçlı paketlerinden birinin farkında olmayan geliştiriciler tarafından yanlışlıkla kurulma olasılığını artırıyor.
Açıklama, daha önce sahte npm paketlerinin LinkedIn ve serbest çalışan web sitelerini kullanarak yayılmasına dayanan Moonstone Sleet’in kötü amaçlı yazılım dağıtım mekanizmasının genişlemesine işaret ettiği için önemlidir.
Bulgular aynı zamanda, Kuzey Kore bağlantılı Kimsuky grubu tarafından yürütülen ve Reuters haber ajansının kimliğine bürünerek Kuzey Koreli insan hakları aktivistlerini bir röportaj talebi kisvesi altında bilgi çalan kötü amaçlı yazılım dağıtmak üzere hedef alan yeni bir sosyal mühendislik kampanyasının keşfinin ardından geldi. ile Genler.