Siber güvenlik araştırmacıları keşfetti Kore Demokratik Halk Cumhuriyeti’ne (DPRK) bağlı saldırganların, iş arayanları hedef alan önceki siber casusluk kampanyalarının bir parçası olarak sunduğu bilinen bir hırsız kötü amaçlı yazılımın güncellenmiş bir sürümü.
Söz konusu eser, “MiroTalk.dmg” adlı bir Apple macOS disk görüntüsü (DMG) dosyasıdır ve bu dosya, meşru görüntülü görüşme hizmeti aynı adı taşıyan, ancak gerçekte BeaverTail’in yerel bir sürümünü sunmak için bir kanal görevi gören güvenlik araştırmacısı Patrick Wardle söz konusu.
BeaverTail, ilk olarak Palo Alto Networks Unit 42 tarafından Kasım 2023’te, yazılım geliştiricilerini sözde bir iş görüşmesi süreci aracılığıyla kötü amaçlı yazılımlarla enfekte etmeyi amaçlayan Bulaşıcı Görüşme adlı bir kampanyanın parçası olarak belgelenen bir JavaScript hırsızı kötü amaçlı yazılımına atıfta bulunur. Securonix, aynı etkinliği DEV#POPPER takma adı altında izliyor.
Hassas bilgileri web tarayıcılarından ve kripto cüzdanlarından sızdırmanın yanı sıra, kötü amaçlı yazılım, AnyDesk’i kalıcı uzaktan erişim için indirmekten sorumlu olan bir Python arka kapısı olan InvisibleFerret gibi ek yükler sunma yeteneğine de sahip.
BeaverTail, GitHub’da barındırılan sahte npm paketleri ve npm paket kayıt defteri aracılığıyla dağıtılmış olsa da, son bulgular dağıtım vektöründe bir değişimi işaret ediyor.
“Tahmin etmem gerekirse, DPRK hacker’ları muhtemelen potansiyel kurbanlarına yaklaşıp, mirotalk’ta barındırılan (virüslü) MiroTalk sürümünü indirip çalıştırarak bir işe alım toplantısına katılmalarını talep ettiler.[.]Wardle, “Net” dedi.
İmzalanmamış DMG dosyasının analizi, Google Chrome, Brave ve Opera gibi web tarayıcılarından, kripto para cüzdanlarından ve iCloud Keychain’den veri çalınmasını kolaylaştırdığını ortaya koyuyor. Dahası, uzak bir sunucudan (yani, InvisibleFerret) ek Python betiklerini indirmek ve yürütmek üzere tasarlanmıştır.
Wardle, “Kuzey Koreli bilgisayar korsanları kurnaz bir grup ve macOS hedeflerini hacklemede oldukça yetenekliler. Ancak kullandıkları teknikler çoğunlukla sosyal mühendisliğe dayanıyor (ve bu nedenle teknik açıdan pek de etkileyici değiller),” dedi.
Açıklama Phylum’dan geldi örtüsüz call-blockflow adında, meşru call-bind ile neredeyse aynı olan ancak radar altında uçmak için özenli çabalar sarf ederken uzaktaki bir ikili dosyayı indirmek için karmaşık işlevler içeren yeni bir kötü amaçlı npm paketi.
Hacker News ile paylaşılan açıklamada, “Bu saldırıda çağrı-bağlama paketi tehlikeye atılmamış olsa da, silahlandırılmış çağrı-bloklama akışı paketi, saldırının başarısını artırmak için orijinalin tüm güvenini ve meşruiyetini kopyalıyor” denildi.
Kuzey Kore bağlantılı Lazarus Grubu’nun işi olduğu düşünülen ve npm’e yüklendikten yaklaşık bir buçuk saat sonra yayından kaldırılan paket, toplamda 18 indirmeEldeki kanıtlar, otuzdan fazla kötü amaçlı paketten oluşan faaliyetin Eylül 2023’ten bu yana dalgalar halinde devam ettiğini gösteriyor.
Yazılım tedarik zinciri güvenlik şirketi, “Bu paketler bir kez kurulduktan sonra uzak bir dosyayı indirir, şifresini çözer, ondan dışarı aktarılan bir işlevi yürütür ve ardından dosyaları silerek ve yeniden adlandırarak izlerini titizlikle örter” dedi. söz konusu“Bu, kurulumdan sonra paket dizinini görünüşte zararsız bir durumda bıraktı.”
Bu karar, JPCERT/CC’nin Kuzey Koreli Kimsuky aktörü tarafından Japon kuruluşlarını hedef alan siber saldırılar konusunda uyarıda bulunmasının ardından geldi.
Enfeksiyon süreci, güvenlik ve diplomatik kuruluşları taklit eden kimlik avı mesajlarıyla başlıyor ve açıldığında bir Visual Basic Script’in (VBS) indirilmesine yol açan kötü amaçlı bir yürütülebilir dosya içeriyor; bu da kullanıcı hesabı, sistem ve ağ bilgilerini toplamak ve dosyaları ve işlemleri numaralandırmak için bir PowerShell betiği alıyor.
Toplanan bilgiler daha sonra bir komuta ve kontrol (C2) sunucusuna sızdırılıyor ve sunucu da ikinci bir VBS dosyasıyla yanıt veriyor; bu dosya çalıştırılarak InfoKey adlı PowerShell tabanlı bir tuş kaydedici alınıyor ve çalıştırılıyor.
“Kimsuky’nin Japonya’daki örgütleri hedef alan saldırı faaliyetlerine dair az sayıda rapor olmasına rağmen, Japonya’nın da aktif olarak hedef alınması ihtimali var,” JPCERT/CC söz konusu.
