Scarcruft olarak bilinen Kuzey Kore bağlantılı tehdit aktörünün, daha önce hiç görülmemiş bir Android gözetim aracının arkasında olduğu söyleniyor. Kospy Koreli ve İngilizce konuşan kullanıcıları hedeflemek.
Kötü amaçlı yazılım kampanyasının ayrıntılarını paylaşan Lookout, en eski sürümlerin Mart 2022’ye kadar uzanması. En son örneklerin Mart 2024’te işaretlendiğini söyledi. Bu çabaların ne kadar başarılı olduğu açık değil.
“Kospy, Dinamik Yüklü Eklentiler aracılığıyla SMS mesajları, çağrı günlükleri, konum, dosyalar, ses ve ekran görüntüleri gibi kapsamlı veriler toplayabilir.” söz konusu bir analizde.
Kötü niyetli artefaktlar, şüpheli kullanıcıları kendi cihazlarını enfekte etmek için kandırmak için Dosya Yöneticisi, Telefon Yöneticisi, Akıllı Yöneticisi, Yazılım Güncelleme Yardımcı Programı ve Kakao Security adlarını kullanarak resmi Google Play Store’da yardımcı uygulamalar olarak maskelenir.
Belirlenen tüm uygulamalar, arka planda casus yazılımla ilgili bileşenleri gizlice dağıtırken, şüphe uyandırmak için vaat edilen işlevleri sunar. Uygulamalar o zamandan beri uygulama pazarından kaldırıldı.
APT27 ve Reaper olarak da adlandırılan Scarcruft, 2012’den beri aktif olan Kuzey Kore devlet destekli bir siber casusluk grubudur. Grup tarafından düzenlenen saldırı zincirleri, öncelikle Rokrat’ı bir araç olarak kullanır. hassas verileri hasat Windows sistemlerinden. Rokrat o zamandan beri MacOS ve Android’e uyarlandı.
Kurulduktan sonra kötü niyetli Android uygulamaları, gerçek komut ve kontrol (C2) sunucu adresini içeren bir yapılandırmayı almak için bir Firebase Firestore bulut veritabanıyla iletişime geçecek şekilde tasarlanmıştır.
Firestore gibi meşru bir hizmet kullanarak Dead Drop Resolderiki aşamalı C2 yaklaşımı hem esneklik hem de esneklik sunar ve tehdit oyuncusu C2 adresini istedikleri zaman değiştirmesine ve tespit edilmemiş çalışmasını sağlar.
Lookout, “C2 adresini aldıktan sonra Kospy, cihazın bir emülatör olmamasını ve geçerli tarihin sert kodlanmış aktivasyon tarihini geçmesini sağlıyor.” Dedi. “Bu etkinleştirme tarih kontrolü, casus yazılımların kötü niyetli niyetini erken ortaya çıkarmamasını sağlar.”
Kospy, gözetim hedeflerini karşılamak için ek eklentiler ve yapılandırmalar indirebilir. C2 sunucuları artık aktif olmadığı veya istemci isteklerine yanıt vermediğinden eklentinin kesin doğası bilinmemektedir.
Kötü amaçlı yazılım, SMS mesajları, çağrı günlükleri, cihaz konumu, yerel depolama dosyaları, ekran görüntüleri, tuş vuruşları, Wi-Fi ağ bilgileri ve yüklü uygulamaların listesi dahil olmak üzere, tehlikeye atılan cihazdan çok çeşitli veri toplamak için tasarlanmıştır. Ayrıca ses kaydetmek ve fotoğraf çekmek için donanımlıdır.
Lookout, Kospy kampanyası ve daha önce Kimuky adlı başka bir Kuzey Koreli hack grubuna (AKA APT43) bağlı olan altyapı örtüşmelerini belirlediğini söyledi.
Bulaşıcı röportaj NPM paketleri olarak tezahür eder
Açıklama, Socket’in, bulaşıcı röportaj olarak izlenen devam eden bir Kuzey Koreli kampanyaya bağlı olan Beaverail adlı bilinen bir bilgi çalma kötü amaçlı yazılımını dağıtmak üzere tasarlanmış bir dizi altı NPM paketini keşfettiği gibi geliyor. Şimdi kaldırılmış paketlerin listesi aşağıdadır –
- IS-tam-validator
- Yoojae-Validator
- olay kaplaması
- Array-boş-validator
- Reaction-Olay-bağımlılığı
- Auth-validator
Paketler, sistem ortamı ayrıntılarının yanı sıra Google Chrome, Brave ve Mozilla Firefox gibi web tarayıcılarında depolanan kimlik bilgilerini toplamak için tasarlanmıştır. Ayrıca Kripto para cüzdanlarını, Solana ve Exodus’tan ID.JSON’u çıkaran Exodus’tan.
Soket araştırmacısı Kirill Boychenko, “Toplu olarak 330 defadan fazla indirilen altı yeni paket-toplu olarak 330 defadan fazla indirildi-yaygın olarak güvenilir kütüphanelerin isimlerini yakından taklit ediyor,” lazarus bağlantılı tehdit aktörleri tarafından geliştiricileri aldatmak için kullanılan tanınmış bir yazılış taktik kullanıyor. ” söz konusu.
“Ayrıca, APT Grubu, kötü niyetli paketlerin beşi için GitHub depolarını oluşturdu ve sürdürdü, açık kaynak meşruiyet görünümü ödünç verdi ve zararlı kodun geliştirici iş akışlarına entegre olma olasılığını artırdı.”
Kuzey Kore kampanyası Rustdoor ve Koi Stealer kullanıyor
Bulgular ayrıca, kripto para birimi sektörünü hedefleyen yeni bir kampanyanın keşfini izliyor ve Rustdoor (diğer adıyla Thiefbucket) adlı pas tabanlı macOS kötü amaçlı yazılım ve daha önce belgesiz bir macOS varyantı, KOI Stealer olarak bilinen bir kötü amaçlı yazılım ailesinin varyantını.
Palo Alto Networks Birimi 42, saldırganların özelliklerinin bulaşıcı görüşmeye benzerlikler taşıdığını ve faaliyetin Kuzey Kore rejimi adına gerçekleştirildiğine dair orta güvenle değerlendirildiğini söyledi.
Özellikle, saldırı zinciri, Microsoft Visual Studio aracılığıyla yürütüldüğünde Rustdoor’u indirmeye ve yürütmeye çalışan sahte bir iş görüşmesi projesinin kullanımını içerir. Kötü amaçlı yazılım daha sonra LastPass Google Chrome uzantısından şifreleri çalmaya, verileri harici bir sunucuya sunmaya ve ters bir kabuk açmak için iki ek bash komut dosyası indirmeye devam eder.
Enfeksiyonun son aşaması, Visual Studio’nun kurbanları sistem şifrelerini girmeye kandırması için taklit eden ve böylece makineden veri toplamasına ve söndürmesine izin veren başka bir yükün alınmasını ve yürütülmesini gerektirir.
Güvenlik Araştırmacıları Adva Gabay ve Daniel Frank, “Bu kampanya, dünya çapındaki kuruluşların, ağlara sızmak ve hassas verileri ve kripto para birimlerini çalmak için tasarlanmış ayrıntılı sosyal mühendislik saldırılarından kaynaklanan riskleri vurgulamaktadır.” söz konusu. Diyerek şöyle devam etti: “Bu riskler, fail, tamamen finansal olarak motive olmuş bir siber suçla karşılaştırıldığında, ulus-devlet tehdit oyuncusu olduğunda büyütülüyor.”
