Devam eden Bulaşıcı Röportaj kampanyasının arkasındaki Kuzey Koreli tehdit aktörlerinin, adlı yeni bir JavaScript kötü amaçlı yazılımını bıraktığı gözlemlendi. Su samuru kurabiyesi.
Bulaşıcı Röportaj (diğer adıyla DeceptiveDevelopment), bilgisayar korsanlığı ekibinin genellikle potansiyel iş fırsatları arayan bireyleri, röportaj süreci kisvesi altında kötü amaçlı yazılım indirmeleri için kandırmak için işe alım görevlisi gibi davrandığı, sosyal mühendislik cazibesini kullanan ısrarlı bir saldırı kampanyasını ifade eder.
Bu, GitHub’da veya resmi paket kayıt defterinde barındırılan, kötü amaçlı yazılım içeren video konferans uygulamalarının veya npm paketlerinin dağıtılmasını içerir ve BeaverTail ve InvisibleFerret gibi kötü amaçlı yazılımların dağıtımının önünü açar.
Etkinliği ilk kez Kasım 2023’te ortaya çıkaran Palo Alto Networks Birim 42, kümeyi CL-STA-0240 adı altında izliyor. Aynı zamanda Ünlü Chollima ve İnatçı Pungsan olarak da anılır.
Eylül 2024’te Singapurlu siber güvenlik şirketi Group-IB, saldırı zincirindeki ilk büyük revizyonu belgeleyerek, BeaverTail’in bilgi çalma işlevini toplu olarak takip edilen bir dizi Python komut dosyasına aktararak modüler bir yaklaşım benimseyen güncellenmiş bir sürümünün kullanımını vurguladı. CivetQ.
Bu aşamada, Bulaşıcı Röportaj’ın, kötü amaçlı yazılım bulaşma sürecini tetiklemek için işle ilgili benzer tuzaklar kullanan, uzun süredir devam eden bir başka Kuzey Kore bilgisayar korsanlığı kampanyası olan Dream Job Operasyonu’ndan farklı olarak değerlendirildiğini belirtmekte fayda var.
Japon siber güvenlik şirketi NTT Security Holdings’in son bulguları ortaya çıkarmak BeaverTail’in başlatılmasından sorumlu olan JavaScript kötü amaçlı yazılımının aynı zamanda OtterCookie’yi getirip yürütmek için de tasarlandığını belirtti. Yeni kötü amaçlı yazılımın Eylül 2024’te tanıtıldığı ve geçen ay yeni bir sürümün ortaya çıktığı söyleniyor.
OtterCookie çalıştırıldığında, Socket.IO JavaScript kitaplığını kullanarak bir komut ve kontrol (C2) sunucusuyla iletişim kurar ve daha sonraki talimatları bekler. Dosyalar, pano içeriği ve kripto para birimi cüzdan anahtarları dahil olmak üzere veri hırsızlığını kolaylaştıran kabuk komutlarını çalıştırmak üzere tasarlanmıştır.
Eylül ayında tespit edilen eski OtterCookie çeşidi işlevsel olarak benzer, ancak küçük bir uygulama farklılığı içeriyor; burada kripto para cüzdanı anahtar hırsızlığı özelliği, uzak kabuk komutunun aksine doğrudan kötü amaçlı yazılımın içine yerleştirilmiştir.
Bu gelişme, tehdit aktörlerinin enfeksiyon zincirine büyük ölçüde dokunulmadan araçlarını aktif olarak güncellediklerinin bir işaretidir ve kampanyanın etkinliğinin devam eden bir işaretidir.
Güney Kore, BT Çalışanı Dolandırıcılığı nedeniyle 15 Kuzey Koreliye yaptırım uyguladı
Aynı zamanda Güney Kore Dışişleri Bakanlığı (MoFA) olarak da geliyor. onaylanmış 15 kişi ve bir kuruluş, Kuzey Kore’ye geri aktarılabilecek, verileri çalabilecek ve hatta bazı durumlarda fidye talep edebilecek şekilde yasa dışı olarak istikrarlı bir gelir kaynağı elde etmek amacıyla kuzeydeki meslektaşı tarafından düzenlenen sahtekar bir BT çalışanı planıyla bağlantılı.
İçeriden tehdit operasyonunun arkasında da Ünlü Chollima tehdit kümesinin olduğunu gösteren kanıtlar var. Aynı zamanda Nickel Goblen, UNC5267 ve Wagemole gibi çeşitli isimlerle de anılır.
Yaptırım uygulanan 15 kişiden biri olan Kim Ryu Song da bu ayın başında ABD Adalet Bakanlığı (DoJ) tarafından yaptırımları ihlal etme, elektronik dolandırıcılık, kara para aklama ve kimlik hırsızlığı yapma yönünde uzun süredir devam eden bir komploya karıştığı iddiasıyla suçlanmıştı. ABD şirketlerinde ve kar amacı gütmeyen kuruluşlarda yasa dışı olarak iş arayarak.
Ayrıca, serbest veya tam zamanlı işler sağlayarak rejime fon sağlamak amacıyla çok sayıda BT personelini Çin, Rusya, Güneydoğu Asya ve Afrika’ya göndermekle suçlanan Chosun Geumjeong Ekonomik Bilgi Teknolojileri Değişim Şirketi de Maliye Bakanlığı tarafından yaptırıma tabi tutuldu. Batılı şirketlerde.
Bu BT çalışanlarının, Kore İşçi Partisi’nin Mühimmat Endüstrisi Departmanı’na bağlı bir kuruluş olan 313. Genel Büro’nun bir parçası olduğu söyleniyor.
“313. Genel Büro […] Bakanlık, “Kuzey Koreli bilişim personelinin çoğunu yurtdışına gönderiyor ve kazanılan dövizi nükleer ve füze geliştirme için fon sağlamak için kullanıyor ve aynı zamanda askeri sektör için yazılım geliştirmede de yer alıyor.” dedi.
“Kuzey Kore’nin yasadışı siber faaliyetleri, yalnızca siber ekosistemin güvenliğini tehdit eden suç eylemleri değil, aynı zamanda Kuzey Kore’nin nükleer ve füze geliştirmesinde fon olarak kullanıldığı için uluslararası barış ve güvenliğe de ciddi bir tehdit oluşturuyor.”
