Kuzey Kore bağlantılı tehdit unsurlarının, sahte iş alım operasyonunun bir parçası olarak geliştiricileri hedef almanın bir yolu olarak LinkedIn’i kullandıkları gözlemlendi.
Google’ın sahibi olduğu Mandiant, Web3 sektörünün karşı karşıya olduğu tehditler hakkında yayınladığı yeni raporda, bu saldırılarda ilk enfeksiyon vektörü olarak kodlama testlerinin kullanıldığını söyledi.
Araştırmacılar Robert Wallace, Blas Kojusner ve Joseph Dobson, “İlk sohbet görüşmesinin ardından saldırgan, Python kodlama zorluğu kisvesi altında COVERTCATCH kötü amaçlı yazılımını içeren bir ZIP dosyası gönderdi” dedi.
Kötü amaçlı yazılım, Başlatma Aracıları ve Başlatma Daemon’ları aracılığıyla kalıcılık sağlayan ikinci aşama bir yük indirerek hedefin macOS sistemini tehlikeye atmak için bir fırlatma rampası işlevi görüyor.
Bunun, Kuzey Koreli bilgisayar korsanlığı gruplarının, hedeflere kötü amaçlı yazılım bulaştırmak için iş ile ilgili tuzaklar kullanan Operasyon Rüya İş, Bulaşıcı Röportaj ve diğerleri gibi çok sayıda faaliyet kümesinden biri olduğunu belirtmekte fayda var.
RustBucket ve KANDYKORN gibi kötü amaçlı yazılım ailelerini dağıtmak için işe alım temalı yemler de yaygın bir taktik olmuştur.
Mandiant, önde gelen bir kripto para borsasında “Finans ve Operasyon Başkan Yardımcısı” pozisyonu için bir iş tanımı gibi gizlenmiş kötü amaçlı bir PDF gönderen bir sosyal mühendislik kampanyası gözlemlediğini söyledi.
“Kötü amaçlı PDF, Rust’ta yazılmış ve dosya yürütmeyi destekleyen bir arka kapı olan RustBucket olarak bilinen ikinci aşama bir kötü amaçlı yazılımı bıraktı.”
RustBucket implantı, temel sistem bilgilerini toplamak, komut satırı üzerinden sağlanan bir URL ile iletişim kurmak ve sabit kodlanmış bir komut ve kontrol (C2) alanıyla iletişim kurmak için kendisini “Safari Güncellemesi” olarak gizleyen bir Başlatma Aracısı kullanarak kalıcılığı ayarlamak üzere donatılmıştır.
Kuzey Kore’nin Web3 organizasyonlarına yönelik hedef alma eylemleri, sosyal mühendisliğin ötesine geçerek, son yıllarda 3CX ve JumpCloud’u hedef alan olaylarda görüldüğü gibi, yazılım tedarik zinciri saldırılarını da kapsıyor.
Mandiant, “Kötü amaçlı yazılımlar aracılığıyla bir yer edindikten sonra saldırganlar, kimlik bilgilerini çalmak, kod depoları ve belgeler aracılığıyla dahili keşif yapmak ve sıcak cüzdan anahtarlarını ortaya çıkarmak ve sonunda fonları boşaltmak için bulut barındırma ortamına geçmek üzere parola yöneticilerine yöneliyor” dedi.
Açıklama, ABD Federal Soruşturma Bürosu’nun (FBI) Kuzey Koreli tehdit aktörlerinin “son derece özel, tespit edilmesi zor sosyal mühendislik kampanyaları” kullanarak kripto para sektörünü hedef aldığına dair uyarısının ardından geldi.
Mağdurun şahsen veya dolaylı olarak tanıdığı kişileri veya işe alım şirketlerini taklit ederek iş veya yatırım teklifleri sunan bu devam eden çabalar, uluslararası yaptırımlara konu olan münzevi krallık için yasadışı gelir elde etmeyi amaçlayan küstah kripto soygunları için bir kanal olarak görülüyor.
Kullanılan taktikler arasında, ilgi duyulan kripto para birimiyle ilgili işletmeleri belirlemek, hedeflerle iletişime geçmeden önce kapsamlı bir operasyon öncesi araştırma yapmak ve olası kurbanlara hitap etmek ve saldırılarının başarı olasılığını artırmak için kişiselleştirilmiş sahte senaryolar hazırlamak yer alıyor.
FBI, “Aktörler, kurbanın kişisel bilgilerine, ilgi alanlarına, bağlantılarına, olaylarına, kişisel ilişkilerine, profesyonel bağlantılarına veya çok az kişinin bildiğine inandığı ayrıntılara atıfta bulunabilir” diyerek, ilişki kurma ve sonunda kötü amaçlı yazılım dağıtma girişimlerini vurguladı.
“Çift yönlü temas kurmada başarılı olunursa, ilk aktör veya aktörün ekibinden bir başkası, meşruiyet duygusunu artırmak ve samimiyet ve güven oluşturmak için kurbanla etkileşime girerek önemli miktarda zaman harcayabilir.”
