Siber güvenlik araştırmacıları, Kuzey Koreli tehdit aktörlerinin RustDoor adı verilen kötü amaçlı yazılımı dağıtmak için LinkedIn’deki potansiyel kurbanları hedef alma girişimleri konusunda uyarmaya devam ediyor.
Son uyarı, Jamf Threat Labs’dan geldi. Şirket, STON.fi adlı meşru bir merkezi olmayan kripto para borsası (DEX) için işe alımcı olduğunu iddia ederek profesyonel sosyal ağda bir kullanıcıyla temasa geçildiği bir saldırı girişimi tespit ettiğini söyledi.
Kötü niyetli siber faaliyet, Kore Demokratik Halk Cumhuriyeti (KDHC) destekli siber tehdit aktörleri tarafından, röportaj yapma veya kodlama görevleri bahanesiyle ilgi alanlarına giren ağlara sızmak amacıyla başlatılan çok yönlü bir kampanyanın parçası.
Devlet destekli muhaliflerin, yasadışı gelir elde etmeyi ve rejimin çıkarlarına dayalı sürekli değişen hedeflere ulaşmayı amaçladıkları için finans ve kripto para sektörleri en önemli hedefler arasında yer alıyor.
Bu saldırılar, ABD Federal Soruşturma Bürosu’nun (FBI) yakın zamanda yayınladığı bir danışma raporunda vurgulandığı üzere, merkezi olmayan finans (“DeFi”), kripto para birimi ve benzeri işletmelerin çalışanlarına yönelik “son derece özel, tespit edilmesi zor sosyal mühendislik kampanyaları” şeklinde ortaya çıkıyor.
Kuzey Kore’deki sosyal mühendislik faaliyetlerinin dikkat çeken göstergelerinden biri, şirkete ait cihazlarda veya şirketin iç ağına erişimi olan cihazlarda kod çalıştırma veya uygulama indirme istekleriyle ilgilidir.
Bahsetmeye değer bir diğer husus ise bu tür saldırıların “standart dışı veya bilinmeyen Node.js paketleri, PyPI paketleri, betikler veya GitHub depolarını çalıştırmayı içeren bir ‘işe alım öncesi test’ veya hata ayıklama egzersizi yapma isteklerini” de içermesidir.
Bu tür taktiklerin kullanıldığı örnekler son haftalarda kapsamlı bir şekilde belgelendi ve hedeflere karşı düzenlenen kampanyalarda kullanılan araçların sürekli olarak geliştiğini ortaya koydu.
Jamf tarafından tespit edilen son saldırı zinciri, kurbanı, aynı işlevselliğe sahip iki farklı ikinci aşama yükünü (“VisualStudioHelper” ve “zsh_env”) indirmek için bash komutları içeren sözde bir kodlama zorluğunun parçası olarak tuzaklı bir Visual Studio projesini indirmeye kandırmayı içeriyor.
Bu ikinci aşama kötü amaçlı yazılım, şirketin Thiefbucket olarak takip ettiği RustDoor’dur. Yazım tarihi itibariyle, kötü amaçlı yazılım önleme motorlarının hiçbiri işaretli sıkıştırılmış kodlama test dosyasını kötü amaçlı olarak değerlendirdi. 7 Ağustos 2024’te VirusTotal platformuna yüklendi.
Araştırmacılar Jaron Bradley ve Ferdous Saljooki, “İki ayrı kötü amaçlı yazılım örneğinin içine yerleştirilen yapılandırma dosyaları, VisualStudioHelper’ın cron aracılığıyla, zsh_env’in ise zshrc dosyası aracılığıyla kalıcı olacağını gösteriyor” dedi.
macOS arka kapısı olan RustDoor, ilk olarak Bitdefender tarafından Şubat 2024’te kripto para şirketlerini hedef alan bir kötü amaçlı yazılım kampanyasıyla bağlantılı olarak belgelendi. S2W tarafından yapılan sonraki bir analiz, Windows makinelerini enfekte etmek için tasarlanmış GateDoor adlı bir Golang varyantını ortaya çıkardı.
Jamf’in bulguları, yalnızca kötü amaçlı yazılımın ilk kez Kuzey Koreli tehdit aktörlerine resmen atfedilmesi açısından değil, aynı zamanda kötü amaçlı yazılımın Objective-C dilinde yazılmış olması açısından da önemlidir.
VisualStudioHelper ayrıca, yapılandırmada belirtilen dosyaları toplayarak bir bilgi hırsızı gibi davranmak üzere tasarlanmıştır; ancak bunu yalnızca şüphe uyandırmamak için, kullanıcının sistem parolasını Visual Studio uygulamasından geliyormuş gibi göstererek yapmasını ister.
Ancak her iki yük de arka kapı olarak çalışıyor ve komuta ve kontrol (C2) iletişimleri için iki farklı sunucu kullanıyor.
Araştırmacılar, “Tehdit aktörleri kripto endüstrisindekileri takip etmenin yeni yollarını bulma konusunda uyanık kalmaya devam ediyor” dedi. “Geliştiricileriniz de dahil olmak üzere çalışanlarınızı, sosyal medyada bağlantı kuran ve kullanıcılardan herhangi bir tür yazılım çalıştırmalarını isteyen kişilere güvenmekte tereddüt etmeleri konusunda eğitmeniz önemlidir.
“Kuzey Kore’nin uyguladığı bu sosyal mühendislik oyunları, İngilizce’yi iyi bilen ve hedef kitleyi iyi araştırarak konuşmaya başlayan kişilerden geliyor.”
