Güney Kore ile İlişkili Siber Tehditler ve Yenilikçi Yöntemler
Son yıllarda, Güney Kore ile bağlantılı siber tehdit aktörleri, özellikle de “Kontagious Interview” kampanyası ile dikkat çekmektedir. Bu kampanya, ünlü yazılım geliştiricileri ve kripto para projeleri üzerinde çalışan bireyleri hedef almaktadır. Selçuk Üniversitesi’nden yapılan bazı gözlemlere göre, bu aktiviteler farklı isimlerle anılmakta; bunlar arasında Dev#Popper, Famous Chollima ve Gwisin Gang gibi takma adlar bulunmaktadır. ESET adlı genç Slovak siber güvenlik firması, bu etkinlikleri “DeceptiveDevelopment” olarak izlemekte ve yazılım geliştiricilerini hedef alan yeni bir dizi arka kapı ve kötü amaçlı yazılım geliştirdiğini raporlamaktadır.
Yeni Kötü Amaçlı Yazılımlar ve Taktikler
Bu kampanyanın arkasındaki araçlar arasında daha önce belgelenmemiş olan AkdoorTea ve diğer bazı araçlar olan TsunamiKit ve Tropidoor bulunmaktadır. ESET araştırmacıları, bu kötü amaçlı yazılımların çoğunun çoklu platform desteğine sahip olduğunu belirtmiştir. İlk aşamalar, genellikle Python ve JavaScript dillerinde yazılmış obfuscate edilmiş kötü amaçlı betikler ile başlamakta ve bu scriptler, hedef kullanıcıların bilgisayarlarına sızarak kötü niyetli yazılımların kurulumunu kolaylaştırmaktadır.
DeceptiveDevelopment kampanyası, LinkedIn, Upwork ve Freelancer gibi platformlar üzerinden sahte iş teklifleri sunarak başlamaktadır. Hedef alınan kişiler, bu iş tekliflerine ilgi gösterdiğinde, onlardan video değerlendirmesi yapmaları veya bir programlama ödevi tamamlamaları istenmektedir. Bu ödevler genellikle GitHub’da barındırılan projeleri klonlamayı gerektirmekte ve bu klonlama süreci, gizlice kötü amaçlı yazılımları kullanıcıların sistemlerine yüklemektedir.
Kötü Amaçlı Yazılımların Çeşitleri ve Etkileri
Saldırılar genellikle birçok farklı kötü amaçlı yazılım türünü içermektedir. Bunlar arasında BeaverTail, InvisibleFerret, OtterCookie, GolangGhost ve PylangGhost gibi yazılımlar bulunmaktadır. WeaselStore, hassas verilerin tarayıcılardan ve kripto paralarla ilgili cüzdanlardan çalınmasına odaklanan bir yazılımdır ve C&C sunucusu ile sürekli iletişimde bulunarak çeşitli komutlar çalıştırma yeteneğine sahiptir.
Ayrıca, TsunamiKit adlı bir kötü amaçlı yazılım aracı da, bilgi ve kripto para çalmak amacıyla kullanılmaktadır. TsunamiLoader, başlatıldığında diğer modülleri yükleme sürecini başlatır. Bu modüller arasında TsunamiClient ve TsunamiHardener yer almaktadır. TsunamiClient, kripto para madencilerini yüklemek üzere tasarlanmış bir .NET spyware modülüdür ve bu durum, saldırıların etkinliğini artırmaktadır.
Malware ve Dark Web Bağlantıları
TsunamiKit’in, karanlık web projeleri üzerinde daha önceden var olan yazılımlardan geliştirildiği düşünülmektedir. Tropidoor, ek bir kötü amaçlı yazılım olarak dikkat çekmekte ve Lazarus Grubu ile bağlantılı olduğu söylenmektedir. ESET, Tropidoor’un Kenya, Kolombiya ve Kanada’dan yüklenen örneklerini bulmuş ve bu kötü amaçlı yazılımın kodlarının önemli kısımlarını PostNapTea ile paylaştığını belirtmiştir.
PostNapTea, yapılandırma güncellemeleri ve dosya yönetimi gibi işlevleri desteklemekte; bu, saldırının stealth (gizli) olduğu kadar etkili olmasını sağlayan bir özelliktir. Bu tür kötü amaçlı yazılımlar, hedeflere daha az dikkat çekerek sızmayı başarmaktadır.
Sosyal Mühendislik ile Güçlendirilmiş Saldırılar
Kampanyanın en dikkat çekici yönlerinden biri, sosyal mühendislik tekniklerinin etkin bir şekilde kullanılmasıdır. Dolandırıcılar, sahte iş tekliflerindeki çekiciliği artırarak potansiyel kurbanları ikna etmekte ve onları daha fazla risk almaya teşvik etmektedirler. Nitekim, NVIDIA markası kullanılarak gerçekleştirilen bazı dolandırıcılık örneklerinde, kullanıcıların özel yazılım yüklemeleri için sahte güncellemeler teşvik edilmektedir.
Güney Kore ile ilgili siber saldırılar sadece tek yönlü bir tehdit değil; aynı zamanda daha büyük bir dolandırıcılık sistemi ile bağlantılıdır. WageMole olarak bilinen bu sistemde, siber aktörler, çalınmış kimliklerle gerçek şirketlerde işe girmeye çalışmaktadır. Bu durum, kimlik hırsızlığını ve sahte kimlik dolandırıcılığını barındıran karma bir tehdittir.
Kampanyaların Sürekliliği ve Sonuçları
Sonuç olarak, Güney Kore ile bağlantılı siber tehdit aktörleri, karmaşık bir yapı ve teknoloji kullanarak, kripto para ve yazılım geliştirme alanlarında daha fazla etkinlik göstermeye devam etmektedir. Bu tür saldırılar, hem bireyler hem de şirketler için ciddi riskler oluşturmaktadır. Kullanıcıların bu tür dolandırıcılık taktiklerine karşı farkındalık kazanması ve gerekli güvenlik önlemlerini alması büyük bir önem taşımaktadır. Hedeflenen kişilerin, sosyal mühendislik tekniklerine karşı dikkatli olması ve her türlü iş teklifini sorgulaması kritik bir gereklilik haline gelmiştir.
