Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağları olan bir tehdit aktörünün, kripto para birimiyle ilgili işletmeleri, çok aşamalı bir kötü amaçlı yazılımla hedef aldığı gözlemlendi. Apple macOS cihazlarına bulaşma.
Kampanyanın adını taşıyan siber güvenlik şirketi SentinelOne Gizli Riskbunu büyük bir güvenle daha önce RustBucket, KANDYKORN, ObjCShellz, RustDoor (diğer adıyla Thiefbucket) ve TodoSwift gibi kötü amaçlı yazılım aileleriyle bağlantılı olan BlueNoroff’a bağladı.
Araştırmacılar Raffaele Sabato, Phil Stokes ve Tom Hegel, faaliyetin “PDF dosyası olarak gizlenen kötü amaçlı bir uygulama yoluyla hedeflere bulaşmak için kripto para birimi eğilimleri hakkında sahte haberler yayan e-postaları kullandığını” belirtti. söz konusu The Hacker News ile paylaşılan bir raporda.
“Kampanya muhtemelen Temmuz 2024 gibi erken bir tarihte başladı ve sahte haber başlıkları veya kriptoyla ilgili konularla ilgili hikayeler içeren e-posta ve PDF tuzaklarını kullanıyor.”
Gibi açıklığa kavuşmuş ABD Federal Soruşturma Bürosu (FBI) tarafından Eylül 2024’te yayınlanan bir tavsiye niteliğindeki raporda, bu kampanyaların, merkezi olmayan finans (DeFi) ve kripto para birimi sektörlerinde çalışan çalışanları hedef alan “son derece özelleştirilmiş, tespit edilmesi zor sosyal mühendislik” saldırılarının bir parçası olduğu belirtildi.
Saldırılar, kötü amaçlı yazılım dağıtmadan önce güven oluşturmak için hedefleriyle uzun süre etkileşim kurarak sahte iş fırsatları veya kurumsal yatırım biçimini alıyor.
SentinelOne, Ekim 2024’ün sonlarında kriptoyla ilgili bir sektörde, delphidigital’de barındırılan bir PDF dosyasını (“Bitcoin Price.app’in Yeni Dalgalanmasının Arkasındaki Gizli Risk”) taklit eden bir damlalık uygulaması sunan bir e-posta kimlik avı girişimi gözlemlediğini söyledi.[.]org.
Swift programlama dilinde yazılan uygulamanın 19 Ekim 2024 tarihinde Apple geliştirici kimliği “Avantis Regtech Private Limited (2S8XHJ7948)” ile imzalanıp noter tasdikli olduğu tespit edildi. İmza o zamandan beri iPhone üreticisi tarafından iptal edildi.
Uygulama başlatıldığında, Google Drive’dan alınan sahte bir PDF dosyasını indirip kurbana görüntülerken, uzak bir sunucudan gizlice ikinci aşama yürütülebilir dosyayı alıp çalıştırıyor. Mach-O x86-64 yürütülebilir dosyası, C++ tabanlı imzasız ikili dosya, uzaktan komutları yürütmek için bir arka kapı görevi görür.
Arka kapı aynı zamanda zshenv yapılandırma dosyasını kötüye kullanan yeni bir kalıcılık mekanizması da içeriyor; bu, tekniğin kötü amaçlı yazılım yazarları tarafından ilk kez kötüye kullanıldığı anlamına geliyor.
Araştırmacılar, “Apple, macOS 13 Ventura’dan itibaren arka planda Oturum Açma Öğeleri için kullanıcı bildirimlerini uygulamaya koyduğundan beri, macOS’un modern sürümleri için özel bir değer taşıyor” dedi.
“Apple’ın bildirimi, özellikle sıklıkla kötüye kullanılan LaunchAgent’lar ve LaunchDaemon’lar olmak üzere bir kalıcılık yöntemi yüklendiğinde kullanıcıları uyarmayı amaçlıyor. Ancak Zshenv’in kötüye kullanılması, macOS’un mevcut sürümlerinde böyle bir bildirimi tetiklemiyor.”
Tehdit aktörünün ayrıca, kripto para birimi, Web3 ve yatırımlarla ilgili temalara odaklanan bir altyapı oluşturmak için alan adı kayıt şirketi Namecheap’i kullandığı da gözlemlendi. Quickpacket, Routerhosting ve Hostwinds en sık kullanılan barındırma sağlayıcıları arasındadır.
Saldırı zincirinin, Kandji’nin Ağustos 2024’te vurguladığı ve TodoSwift’i dağıtmak için benzer şekilde adlandırılan “Bitcoin’in fiyat düşüşü için risk faktörleri ortaya çıkıyor(2024).app” adlı bir macOS dropper uygulamasını kullanan önceki bir kampanyayla bir düzeyde örtüşmeyi paylaştığını belirtmekte fayda var. .
Tehdit aktörlerini taktiklerini değiştirmeye iten şeyin ne olduğu ve bunun kamuya açık raporlara yanıt olup olmadığı açık değil. Stokes, The Hacker News’e şunları söyledi: “Kuzey Koreli aktörler yaratıcılıkları, uyum sağlamaları ve faaliyetlerine ilişkin raporların farkında olmaları ile tanınıyor; bu nedenle onların saldırgan siber programlarından farklı başarılı yöntemlerin ortaya çıktığını görmemiz tamamen mümkün.”
Kampanyanın endişe verici bir başka yönü de BlueNoroff’un geçerli Apple geliştirici hesaplarını ele geçirme veya ele geçirme ve bunları, kötü amaçlı yazılımlarının Apple tarafından noter tasdiki için kullanılması yeteneğidir.
Araştırmacılar, “Son 12 ay boyunca, Kuzey Koreli siber aktörler, kripto ile ilgili endüstrilere karşı bir dizi kampanya yürüttüler ve bunların çoğu, sosyal medya aracılığıyla hedeflerin kapsamlı bir şekilde ‘tedavi edilmesini’ içeriyordu” dedi.
“Gizli Risk kampanyası, daha geleneksel ve daha kaba, ancak daha az etkili olmasa da, e-posta kimlik avı yaklaşımını benimseyerek bu stratejiden uzaklaşıyor. İlk enfeksiyon yönteminin körlüğüne rağmen, önceki Kuzey Kore destekli kampanyaların diğer özellikleri de ortada.”
Bu gelişme aynı zamanda Kuzey Koreli bilgisayar korsanlarının Batı’daki çeşitli şirketlerde iş aramak ve bubi tuzaklı kod tabanları ve konferans araçlarını kullanarak bir işe alım mücadelesi veya görev kisvesi altında potansiyel iş arayanlara kötü amaçlı yazılım dağıtmak için düzenlediği diğer kampanyaların bir parçası olarak da ortaya çıkıyor.
Wagemole (diğer adıyla UNC5267) ve Bulaşıcı Röportaj olarak adlandırılan iki izinsiz giriş seti, Ünlü Chollima (diğer adıyla CL-STA-0240 ve Tenacious Pungsan) olarak takip edilen bir tehdit grubuna atfedildi.
Bulaşıcı Röportaj’a bu adı veren ESET Aldatıcı Gelişimbunu, kripto para birimi hırsızlığı amacıyla dünya çapındaki serbest geliştiricileri hedeflemeye odaklanan yeni bir Lazarus Grubu faaliyet kümesi olarak sınıflandırdı.
Zscaler ThreatLabz araştırmacısı Seongsu Park, “Bulaşıcı Röportaj ve Wagemole kampanyaları, Kuzey Koreli tehdit aktörlerinin veri çalmaya, Batı ülkelerinde uzaktan işler bulmaya ve mali yaptırımları aşmaya devam ederken gelişen taktiklerini sergiliyor.” söz konusu bu hafta başında.
“Gelişmiş gizleme teknikleri, çoklu platform uyumluluğu ve yaygın veri hırsızlığıyla bu kampanyalar, hem işletmeler hem de bireyler için giderek artan bir tehdit oluşturuyor.”