Kuzey Kore merkezli DEV#POPPER kampanyası, dünya çapındaki yazılım geliştiricilerini veri hırsızlığı için hedef almak amacıyla kullandığı güncellenmiş bir kötü amaçlı yazılım ve sosyal mühendislik cephanesiyle geri döndü.
Bu, Securonix Tehdit Araştırmaları ekibinin bugün yaptığı bir analize göre; bilinen tehdit grubu mevcut Windows ikili yazılımına ek olarak Linux ve macOS türevlerini de kötü amaçlı yazılım araç setine ekleyerek her zamankinden daha geniş bir ağ kuruyor.
Daha önce ağırlıklı olarak Güney Kore’ye odaklanan kampanya, dünya çapında yaygınlaşırken, Avrupa, Ortadoğu ve Kuzey Amerika’da da faaliyet gösteriyor.
Kampanyanın hangi düzeyde belirli hedefleme kullandığı belirsiz, ancak diğer çabalarla örtüşmeler var Kuzey Koreli aktörler sahte işe alım kullanacak Devlet destekli saldırılarda.
Securonix’te kıdemli tehdit araştırmacısı olan Tim Peck, “Saldırganların nihai hedefinin, bir şirket veya şirkete ait uç noktada bir bireye karşı başarılı bir operasyon yürütmek olduğunu düşünüyorum” diyor. “Kullanılan kötü amaçlı yazılıma dayanarak, birincil amacı hırsızlıktır. Genellikle, finansal amaçlı saldırılarda, fidye yazılımlarının veya kripto madencilerinin kullanıldığını görüyoruz.”
Sosyal Mühendislikle Geliştiricileri Hedefleme
Kurbanlarını cezbetmek için, DEV#POPPER tehdit aktörleri var olmayan pozisyonlar için yazılım geliştiricileri işe almak isteyen görüşmeciler gibi davranırlar. Birisi başvuruda bulunduğunda, başvuranın kodlama becerilerini test etmek için kullanılacak bir npm paketi olduğu iddia edilen bir .ZIP dosyasını hedefe gönderirler.
“Pratik tarzdaki görüşmelerin kullanımı, saldırganların görüşülen kişinin sisteminde kötü amaçlı kod çalıştırması için kolay bir ortam sağlar,” diyor Peck. “Geliştirici görüşmelerinin pratik doğası göz önüne alındığında, diğer birçok görüşme türünün aksine, kod derlemeniz veya yürütmeniz istenmesi alışılmadık bir durum olmazdı. Böyle bir kullanım durumunda, genellikle görüşülen kişide şüphe uyandırmazdı.”
Araştırmacılar, kampanya analizlerinde, röportaj yapılan kişi paketin içeriğini çıkarıp çalıştırdığında, enfeksiyon zincirini başlatan iyi gizlenmiş bir JavaScript kodu satırının çalıştırıldığını açıkladılar. “.ZIP dosyası düzinelerce meşru dosya içeriyor ve bu da yüklü herhangi bir antivirüs tarafından gözden kaçırılırsa potansiyel bir kötü niyetli oyunu tespit etmeyi zorlaştırıyor.”
Bu arada antivirüs bunu gerçekten kaçırmış olabilir: birden fazla yolla gizlenen kötü amaçlı dosyanın VirusTotal’da yalnızca 3/64 satıcı tespit oranı var Securonix blog yazısı Bugün yayınlanıyor.
Akıllıca dolandırıcılık düzeyi dikkat çekici: “Bu özel saldırıda, tehdit aktörlerinin sosyal mühendislik planlarını gerçekleştirmek için kat ettikleri mesafe oldukça cesur,” diyor Peck. “Bunu düşündüğünüzde, sahte iş görüşmeleri düzenlemek için gereken iş miktarı, örneğin kimlik avı e-postaları göndermek gibi geleneksel uzlaşma eylemlerinin çok ötesine geçiyor.”
DEV#POPPER’ın Siber Saldırı Rutini ve Güncellenen Kötü Amaçlı Yazılım
Securonix’e göre kötü amaçlı yazılım stratejisi artık sadece çok platformlu değil, aynı zamanda öncekinden daha karmaşık.
Araştırmacılar, betiğin gizliliğini kaldırdıktan sonra kampanyanın komuta ve kontrol adresini (C2) ve bir dizi kötü amaçlı işlevi tespit edebildiler. İkincisi, farklı işletim sistemlerinde veri çıkarma ve kod yürütmeyi düzenleyen “M” adlı yeni bir ana işlevi içeriyor.
“Platformu tanımlayarak başlıyor, yollar ve değişkenler oluşturuyor ve ardından tespit edilen işletim sistemine göre uygun çıkarma işlevlerini çağırıyor” diyor analiz.
Diğer işlevler, çalınan verileri C2’ye göndermek, sistem ve coğrafi konum bilgilerini toplamak ve her enfekte ana bilgisayara benzersiz tanımlayıcılar atamakla görevlidir (bu, sunucunun hangi verilerin hangi makineden geldiğini izlemesini sağlar). Başka bir işlev, bir sonraki aşama yüklerini indirirken, başka bir yeni ekleme, belirli dosyaları ve dizinleri çıkarmadan hariç tutan filtreler içeren dizin geçişini gerçekleştirir (daha meşru görünmek için).
Securonix araştırmacıları, betik tehlikeye atılmış bir ana bilgisayarda yürütüldükten sonra saldırganların daha önce DEV#POPPER tarafından kullanılan bir Python betiğinin güncellenmiş bir sürümüyle sonuçlanan bir dizi ek yük aldığını belirtti. Bu, çeşitli hassas dosyaların gerçek hırsızlığını, ayrıca tuş kaydı ve gözetimi gerçekleştirir; yeni bir yetenek, tarayıcı çerezlerini, web sitelerine girilen kredi kartı bilgilerini ve yüklü tarayıcı uzantılarına ait verileri çalma yeteneğidir.
“Bu tür bir girişimin riski bilgi hırsızı kötü amaçlı yazılım Peck, “İşletme uç noktasındaki saldırı felaketle sonuçlanabilir” diyor. “Çalınan bilgiler göz önüne alındığında, tehdit aktörleri hemen hemen anında kullanıcının tüm etkin tarayıcı oturumlarına, çerezlerine ve parolalarına erişebilir. Ayrıca, uç noktaya uzaktan erişimleri olur ve bu da kendilerini daha derine yerleştirmelerine veya kullanıcının erişebileceği diğer sistemlere yatay olarak geçmeye çalışmalarına olanak tanır.”
İşletmelerin bu tür saldırılara karşı korunmaları zor olsa da, hedefin iş aradığının farkında olmayabilecekleri göz önünde bulundurulduğunda, savunma tarafında farkındalık eğitimi her zaman bir seçenektir.
“İlk olarak, eğer çalışıyorsanız ve aktif olarak mülakat yapıyorsanız, mülakatı asla şirkete ait bir cihazda yapmayın,” diye uyarıyor Peck. “İkincisi, iş görüşmeleri çoğu zaman stresli durumlar olsa da, güvenliğe odaklanmış bir zihniyeti koruyun. Sosyal mühendislik saldırılarını tespit etmek zor olabilir, ancak istek tuhaf veya normalin dışında görünüyorsa, reddedilme veya durumu garipleştirme korkusuyla bir istekten vazgeçmekten korkmayın.”