Kuzey Koreli tehdit aktörleri, Bulaşıcı Röportaj adı verilen ve finansal olarak yürütülen devam eden bir kampanyanın parçası olarak, FreeConference.com’u taklit eden sahte bir Windows video konferans uygulamasını kullanarak geliştirici sistemlerine arka kapı açtı.
Yeni saldırı dalgası, benekli Singapurlu Group-IB şirketinin 2024 yılı Ağustos ayı ortasında yaptığı saldırı, kötü amaçlı yazılım dağıtmak için Windows ve Apple macOS için yerel yükleyicilerden de yararlanıldığına dair bir başka gösterge.
DEV#POPPER adıyla da bilinen Contagious Interview, CrowdStrike tarafından Famous Chollima takma adıyla takip edilen bir Kuzey Koreli tehdit aktörü tarafından düzenlenen kötü amaçlı bir kampanyadır.
Saldırı zincirleri, hayali bir iş görüşmesiyle başlıyor ve iş arayanları, BeaverTail indirici kötü amaçlı yazılımını içeren bir Node.js projesini indirmeye ve çalıştırmaya kandırıyor. Bu da InvisibleFerret olarak bilinen, uzaktan kontrol, tuş kaydı ve tarayıcı çalma yetenekleriyle donatılmış, platformlar arası bir Python arka kapısı sunuyor.
Bilgi hırsızı olarak da işlev gören BeaverTail’in bazı versiyonları, genellikle mülakat sürecinde sözde teknik bir değerlendirmenin parçası olarak sahte npm paketleri aracılığıyla dağıtılan JavaScript kötü amaçlı yazılımı biçiminde ortaya çıktı.
Ancak Temmuz 2024’te, meşru MiroTalk video konferans yazılımı gibi görünen Windows MSI yükleyicisi ve Apple macOS disk görüntüsü (DMG) dosyalarının, BeaverTail’in güncellenmiş bir sürümünün dağıtımı için bir kanal görevi gördüğü keşfedildiğinde durum değişti.
Kampanyayı kötü şöhretli Lazarus Group’a bağlayan Group-IB’nin son bulguları, tehdit aktörünün bu özel dağıtım mekanizmasına güvenmeye devam ettiğini, tek farkın yükleyicinin (“FCCCall.msi”) MiroTalk yerine FreeConference.com’u taklit etmesi olduğunu gösteriyor.
Sahte yükleyicinin freeconference adlı bir web sitesinden indirildiğine inanılıyor[.]Hayali mirotalk ile aynı kayıt kuruluşunu kullanan io[.]net web sitesi.
Güvenlik araştırmacısı Sharmine Low, “Lazarus, Linkedin’in yanı sıra WWR, Moonlight, Upwork ve diğerleri gibi diğer iş arama platformlarında da potansiyel kurbanları aktif olarak arıyor” dedi.
“İlk teması kurduktan sonra, genellikle konuşmayı başka yere taşımaya çalışmak “Telegram’a yönlendiriliyor ve potansiyel adaylardan, görüşme sürecinin bir parçası olarak teknik bir görevi yerine getirmek için bir video konferans uygulaması veya bir Node.js projesi indirmeleri isteniyor.”
Kampanyanın aktif bir iyileştirme sürecinden geçtiğinin bir işareti olarak, tehdit aktörlerinin kötü amaçlı JavaScript’i hem kripto para birimi hem de oyunla ilgili depolara enjekte ettiği gözlemlendi. JavaScript kodu ise, BeaverTail Javascript kodunu ipcheck etki alanından almak için tasarlanmıştır[.]bulut veya bölge kontrolü[.]açık.
Burada şunu belirtmekte fayda var ki, bu davranış yakın zamanda yazılım tedarik zinciri güvenlik firması Phylum tarafından helmet-validate adlı bir npm paketiyle bağlantılı olarak da vurgulandı ve bu da tehdit aktörlerinin aynı anda farklı yayılma vektörlerinden yararlandığını gösteriyor.
Dikkat çeken bir diğer değişiklik ise BeaverTail’in artık AnyDesk kullanarak kalıcılık sağlama işlevini uygulamaya koymasının yanı sıra Kaikas, Rabby, Argent X ve Exodus Web3 gibi daha fazla kripto para cüzdanı uzantısından veri çıkaracak şekilde yapılandırılmış olması.
Hepsi bu kadar değil. BeaverTail’in bilgi çalma özellikleri artık toplu olarak CivetQ olarak adlandırılan ve çerezleri, web tarayıcısı verilerini, tuş vuruşlarını ve pano içeriğini toplayıp daha fazla betik sunabilen bir dizi Python betiği aracılığıyla gerçekleştiriliyor. Kötü amaçlı yazılım toplamda 74 tarayıcı eklentisini hedef alıyor.
Low, “Kötü amaçlı yazılım, kullanıcı notlarının şifrelenmemiş bir biçimde saklandığı `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite` konumunda bulunan uygulamanın SQLite veritabanı dosyalarını hedef alarak Microsoft Sticky Notes’tan veri çalabiliyor” dedi.
“Kötü amaçlı yazılım, bu veritabanından veri sorgulayıp çıkararak, kurbanın Sticky Notes uygulamasından hassas bilgileri alabilir ve sızdırabilir.”
CivetQ’nun ortaya çıkışı, modüler bir yaklaşıma işaret ederken, aynı zamanda araçların aktif olarak geliştirildiğini ve son birkaç ayda küçük artışlarla sürekli olarak geliştiğini vurguluyor.
Low, “Lazarus taktiklerini güncelledi, araçlarını geliştirdi ve faaliyetlerini gizlemenin daha iyi yollarını buldu,” dedi. “Çalışmalarını azaltmaya dair hiçbir işaret göstermiyorlar, kampanyaları iş arayanları hedef alıyor ve 2024’e ve günümüze kadar uzanıyor. Saldırıları giderek daha yaratıcı hale geldi ve artık daha fazla platforma yayılıyorlar.”
Açıklama, ABD Federal Soruşturma Bürosu’nun (FBI), Kuzey Koreli siber aktörlerin kripto para hırsızlığını kolaylaştırmak için “iyi gizlenmiş” sosyal mühendislik saldırıları kullanarak kripto para endüstrisini agresif bir şekilde hedef aldığı konusunda uyarıda bulunmasının ardından geldi.
FBI, “Kuzey Kore’nin sosyal mühendislik planları karmaşık ve ayrıntılıdır, çoğu zaman gelişmiş teknik becerilere sahip kurbanları tehlikeye atar” dedi. söz konusu Salı günü yayınlanan bir duyuruda, tehdit gruplarının potansiyel kurbanları, profesyonel ağ oluşturma veya iş ile ilgili platformlardaki sosyal medya aktivitelerini inceleyerek tespit ettiği belirtiliyor.
“Kuzey Koreli kötü niyetli siber aktörlerden oluşan ekipler, hedef almak üzere belirli DeFi veya kripto para birimiyle ilgili işletmeleri tespit ediyor ve bu şirketlerin onlarca çalışanını sosyal mühendislik yoluyla hedef alarak şirketin ağına yetkisiz erişim sağlamaya çalışıyor.”