Kuzey Koreli bir bilgisayar korsanlığı grubunun, kurbanlarını cezbetmek için LinkedIn’deki sahte iş tekliflerini kullanan yeni bir kötü amaçlı yazılım kampanyasının arkasında olduğuna inanılıyor.
Grup, meşru işe alım görevlileri kisvesi altında medya, teknoloji ve savunma endüstrilerinde sahte iş teklifleri yayınlıyor. Hatta bir reklamda New York Times’ın kimliğine büründüler.
Tehdit istihbaratı firması Mandiant (yeni sekmede açılır) kampanyanın Haziran 2022’den beri devam ettiğini keşfetti. Bunun, kripto kullanıcılarına ait sistemleri ihlal eden “Dream Job Operasyonu” olarak bilinen kötü şöhretli Lazarus grubu tarafından yürütülen, Kuzey Kore kaynaklı başka bir kötü amaçlı yazılım kampanyasıyla ilgili olduğuna inanıyor.
Kurbanlar için kimlik avı
Mandiant ise, yeni kampanyanın ayrı bir gruptan Lazarus’a ait olduğuna ve saldırılarda kullanılan TouchMove, SideShow ve TouchShift kötü amaçlı yazılımlarının daha önce hiç görülmediği için benzersiz olduğuna inanıyor.
Bir kullanıcı LinkedIn iş teklifine yanıt verdikten sonra bilgisayar korsanları, bilgisayar korsanlarının kırdığı ve kontrol merkezi olarak kullandıkları WordPress sitelerinden truva atları yükleyen tehlikeli makrolar içeren bir Word belgesini paylaştıkları WhatsApp’ta işleme devam eder.
SıkıVNC tabanlı ve LidShift olarak bilinen bu truva atı, karşılığında, LidShot olarak bilinen kötü amaçlı yazılımı indiren kötü amaçlı bir Notepad++ eklentisi yükler ve ardından cihazdaki son yükü, yani PlankWalk arka kapısını dağıtır.
Bundan sonra bilgisayar korsanları, bir Windows ikili dosyasına gizlenmiş TouchShift adlı kötü amaçlı yazılım damlatıcısını kullanır. Bu, sırasıyla bir ekran görüntüsü yardımcı programı ve keylogger olan TouchShot ve TouchKey ile TouchMove adlı bir yükleyici çağrısı dahil olmak üzere çok sayıda ek kötü amaçlı içerik yükler.
Ayrıca, kayıt defterini düzenleme, güvenlik duvarı ayarlarını değiştirme ve ek yükleri yürütme yeteneği gibi, ana bilgisayarın sistemi üzerinde üst düzey kontrole izin veren SideShow adlı başka bir arka kapı da yükler.
Bilgisayar korsanları, uç nokta yönetim hizmeti Microsoft Intune’u kötüye kullanarak VPN kullanmayan şirketlerde de CloudBurst kötü amaçlı yazılımını kullandı.
Ek olarak, bilgisayar korsanları, LightShow adlı başka bir yük tarafından Endpoint koruma yazılımındaki çekirdek rutinlerine yama yapmak için kullanılan ASUS sürücüsü “Driver7.sys”deki sıfır gün açığından da yararlandı. Bu kusur, o zamandan beri yamalandı.