Serbest yazılım geliştiricileri, Beaverail ve InvisibleFerret olarak bilinen platformlar arası kötü amaçlı yazılım aileleri sunmak için iş görüşmesi temalı yemlerden yararlanan devam eden bir kampanyanın hedefidir.
Kuzey Kore ile bağlantılı olan etkinlik, bulaşıcı röportaj (CL-Sta-0240), Dev#Popper, ünlü Chollima, Purplebravo ve Teamous Pungsan adları altında izlenen kümelerle örtüşen Çöpüm Geliştirme kodludur. Kampanya en azından 2023’ten beri devam ediyor.
Siber güvenlik şirketi ESET, “Satın Alınan Geliştirme, iş avcısı ve serbest çalışan sitelerde mızrak avlama yoluyla serbest yazılım geliştiricilerini hedefler, kripto para cüzdanları çalmayı ve tarayıcılardan ve şifre yöneticilerinden giriş bilgilerini çalmayı hedefliyor” söz konusu Hacker News ile paylaşılan bir raporda.
Kasım 2024’te ESET, hacker News’e, aldatıcı geliştirme ve bulaşıcı röportaj arasındaki örtüşmeyi doğruladı ve kripto para hırsızlığı yapmak amacıyla faaliyet gösteren yeni bir Lazarus grup etkinliği olarak sınıflandırdı.
Saldırı zincirleri, prospektif hedeflere ulaşmak ve bir iş görüşmesi süreci bahanesi altında backdroors dağıtan GitHub, GitLab veya Bitbucket’te barındırılan truva kod tabanlarını paylaşmak için sosyal medyada sahte işe alım profillerinin kullanımı ile karakterize edilir.
Kampanyanın sonraki yinelemeleri Upwork, Freelancer.com, uzaktan çalışıyoruz, ay ışığı ve kripto işleri listesi gibi diğer iş avcısı platformlarına dalmıştır. Daha önce vurgulandığı gibi, bu işe alım zorlukları genellikle hataların düzeltilmesini veya kript ile ilgili projeye yeni özellikler eklemeyi gerektirir.
Kodlama testleri dışında, sahte, kripto para birimi girişimleri, blockchain işlevselliği olan oyunlar ve kripto para birimi özelliklerine sahip kumar uygulamaları olarak maskelenir. Çoğu zaman, kötü amaçlı kod, tek bir çizgi şeklinde iyi huylu bir bileşenin içine yerleştirilir.
Güvenlik araştırmacısı Matěj Havránek, “Ayrıca, ilk uzlaşmanın gerçekleştiği yer olan projeyi test etmek için oluşturmaları ve yürütmeleri talimatı veriliyor.” Dedi. “Kullanılan depolar genellikle özeldir, bu nedenle VIC-M, önce araştırmacılardan kötü niyetli faaliyetleri gizleyecek olan, bunlara erişim sağlanacak hesap kimliklerini veya e-posta adreslerini sağlamaları istenir.”
İlk uzlaşmaya ulaşmak için kullanılan ikinci bir yöntem, kurbanlarını Mirotalk veya FreeConference gibi kötü amaçlı yazılımla bağcıklı bir video konferans platformu kurmaya yönlendirir.
Hem Beaverail hem de InvisibleFerret bilgi çalma yetenekleriyle birlikte gelirken, birincisi ikincisi için bir indirici olarak hizmet veriyor. Beaverail ayrıca iki lezzetle de geliyor: Truva atı projelerine yerleştirilebilen bir JavaScript varyantı ve konferans yazılımı olarak gizlenmiş QT platformu kullanılarak inşa edilmiş yerel bir versiyon.
InvisibleFerret, üç ek bileşeni alan ve yürüten modüler bir Python kötü amaçlı yazılımdır –
- ödemekbilgi toplayan ve saldırgan kontrollü bir sunucudan uzaktan komutları tuş vuruşlarını kaydetmeye, pano içeriğini yakalamaya, kabuk komutlarını çalıştırmaya, kabuk komutlarını çalıştırmaya, monte edilmiş sürücülerden gelen dosyaları ve tarayıcı modülünü yükleyebilen bir arka kapı görevi gören bir arka kapı görevi gören bir arka kapı görevi gören bir arka kapı görevi gören bir arka kapı görevi gören ve tarayıcı uzantılarından ve şifre yöneticilerinden bilgi toplayın
- yayKrom, Cesur, Opera, Yandex ve Edge gibi krom tabanlı tarayıcılarda depolanan giriş verilerini, otomatik doldurma verilerini ve ödeme bilgilerini çalmaktan sorumludur.
- ADCAnyDesk uzak masaüstü yazılımını yükleyerek bir kalıcılık mekanizması olarak işlev gören
ESET, kampanyanın temel hedeflerinin, Finlandiya, Hindistan, İtalya, Pakistan, İspanya, Güney Afrika, Rusya, Ukrayna ve ABD’de bildirilen önemli konsantrasyonlarla kripto para birimi ve merkezi olmayan finans projelerinde çalışan yazılım geliştiricileri olduğunu söyledi.
“Saldırganlar, coğrafi konuma göre ayrım yapmazlar ve fonları ve bilgileri başarıyla çıkarma olasılığını artırmak için mümkün olduğunca çok kurbandan ödün vermeyi amaçlamaktadır.
Bu, operatörler tarafından benimsenen görünür zayıf kodlama uygulamalarında, geliştirme notlarının kaldırılamamasından, geliştirme ve test için kullanılan yerel IP adreslerine kadar değişen, izinsiz giriş setinin gizli konusunda endişe duymadığını gösterir.
İş görüşmesi tuzaklarının kullanımının, en önemli olan Operasyon Operasyonu Dream Job olarak adlandırılan uzun süredir devam eden bir kampanya olan çeşitli Kuzey Kore hack grupları tarafından benimsenen klasik bir strateji olduğunu belirtmek gerekir.
Ayrıca, tehdit aktörlerinin, Kuzey Koreli vatandaşların rejimin önceliklerini finanse etmenin bir yolu olarak düzenli maaşlar çizmek için sahte kimlikler altında denizaşırı işlere başvurdukları hileli BT işçi planına da dahil olduklarını gösteren kanıtlar vardır.
ESET, “Alınan Geliştirme Kümesi, Kuzey Kore’ye hizalanmış aktörler tarafından kullanılan zaten geniş bir para kazanma programı koleksiyonuna bir katkıdır ve geleneksel paradan kripto para birimlerine kayma eğilimi eğilimine uymaktadır.” Dedi.
“Araştırmamız sırasında, ilkel araçlardan ve tekniklerden daha gelişmiş ve yetenekli kötü amaçlı yazılımların yanı sıra kurbanlarda cezbetmek ve kötü amaçlı yazılımları dağıtmak için daha cilalı tekniklere gittiğini gözlemledik.”
