Bulaşıcı röportajın arkasındaki Kuzey Kore tehdit aktörleri, kripto para birimi sektöründeki iş arayanları, Windows ve MacOS sistemlerinde daha önce belgelenmemiş GOlangghost adlı bir GO tabanlı arka kapı sunmak için giderek daha popüler olan ClickFix Sosyal Mühendislik taktiklerini benimsedi.
Kampanyanın devamı olarak değerlendirilen yeni etkinliğe kodlandı. Tıklama paketi görüşmesi Fransız Siber Güvenlik Şirketi Sekoia tarafından. Alınan Geliştirme, Dev#Popper ve ünlü Chollima olarak da izlenen bulaşıcı röportaj, en azından Aralık 2022’den beri aktif olduğu bilinmektedir, ancak 2023’ün sonlarında ilk kez kamuya açıklanmıştır.
Sekoia araştırmacıları Amaury G., Coline Chavane ve Felix Aimé, “ClickFix taktiğinden yararlanmak ve Windows ve MacOS backdoors yüklemek için meşru iş görüşmesi web sitelerini kullanıyor,” söz konusuçabayı meşhur olana atfetmek Lazarus GrubuKore Demokratik Halk Cumhuriyeti’nin (DPRK) Keşif Genel Bürosu’na (RGB) atfedilen üretken bir düşman.
Kampanyanın dikkate değer bir yönü, öncelikle Coinbase, Kucoin, Kraken, Circle, menkul kıymetleştirme, blockfi, tether, robinhood ve Bybit gibi şirketleri taklit ederek merkezi finans varlıklarını hedeflemesidir, hack grubunun haksız finansman (defi) varlıklarına karşı saldırılarından bir ayrılış işaret eder.
Operasyon Dream Job gibi bulaşıcı röportaj, sahte iş tekliflerini potansiyel hedefleri çekmek ve bunları kripto para birimi ve diğer hassas verileri çalabilecek kötü amaçlı yazılımları indirmeye çalıştırıyor.
Çabaların bir parçası olarak, adaylara LinkedIn veya X aracılığıyla bir video görüşmesi görüşmesine hazırlanmak için yaklaşılır ve bunun için kötü amaçlı bir video konferans yazılımı veya enfeksiyon sürecini etkinleştiren açık kaynaklı proje indirmeleri istenir.
Lazarus Group’un ClickFix taktiğini kullanması ilk olarak güvenlik araştırmacısı Taylor Monahan tarafından 2024 yılı sonuna doğru açıklandı ve saldırı zincirleri, daha sonra Golang arka kapısını sağlayan Ferret adlı bir kötü amaçlı yazılım ailesinin konuşlandırılmasına yol açtı.
Kampanyanın bu yinelemesinde, kurbanlardan Willo adlı iddia edilen bir video görüşme hizmetini ziyaret etmeleri ve kendilerinin video değerlendirmesini tamamlamaları istenir.
Sekoia, “Kullanıcı güveni oluşturmak için titizlikle tasarlanan tüm kurulum, kullanıcıdan kameralarını etkinleştirmesi istenene kadar sorunsuz bir şekilde ilerliyor.” “Bu noktada, kullanıcının sorunu çözmek için bir sürücü indirmesi gerektiğini gösteren bir hata mesajı görünür.
Kameraya veya mikrofona erişim sağlamak için kurbana verilen talimatlar, kullanılan işletim sistemine bağlı olarak değişir. Windows’ta, hedeflerden komut istemini açması ve bir Visual Basic betiği (VBS) dosyasını yürütmek için bir curl komutu yürütmesi istenir, bu da GoLangghost’u çalıştırmak için bir toplu komut dosyası başlatır.
Kurbanın bir macOS makinesinden siteyi ziyaret etmesi durumunda, benzer şekilde terminal uygulamasını başlatmaları ve bir kabuk komut dosyası çalıştırmak için bir curl komutu çalıştırmaları istenir. Kötü niyetli kabuk komut dosyası, kendi adına, FrostyFerret (aka ChromeUpdatealert) ve arka kapı olarak adlandırılan bir stealer modülünü yürüten ikinci bir kabuk komut dosyası çalıştırır.
FrostyFerret, Chrome Web tarayıcının kullanıcının kamerasına veya mikrofonuna erişmesi gerektiğini belirten sahte bir pencere görüntüler, daha sonra sistem şifresini girme istemi görüntüler. Girilen bilgiler, geçerli veya başka türlü olup olmadığına bakılmaksızın, bir Dropbox konumuna eklenir, muhtemelen çalınan şifreyi kullanarak iCloud anahtarçasına erişme girişimini gösterir.
Golangghost, uzaktan kumanda ve veri hırsızlığını kolaylaştırmak için tasarlanmıştır.
Sekia, “Tüm pozisyonların yazılım geliştirmedeki teknik profillerle ilişkili olmadığı bulundu.” “Bunlar esas olarak iş geliştirme, varlık yönetimi, ürün geliştirme veya merkezi olmayan finans uzmanlarına odaklanan yönetici işleridir.”
“Bu, DPRK-Nexus tehdit aktörlerine atfedilen ve esas olarak geliştiricileri ve yazılım mühendislerini hedefleyen sahte iş görüşmelerine dayanan önceki belgelenmiş kampanyalardan önemli bir değişiklik.”
Kuzey Kore BT İşçi Planı Avrupa’da aktif hale geliyor
Gelişme, Google Tehdit İstihbarat Grubu’nun (GTIG), Avrupa’daki hileli BT işçisi planında bir artış gözlemlediğini ve faaliyetlerinin ABD’nin ötesindeki önemli bir genişlemesinin altını çizdiğini söyledi.
BT işçi faaliyeti, şirketlere sızmak ve Pyongyang için yasadışı gelir elde etmek için meşru uzaktan işçiler olarak poz veren Kuzey Koreli vatandaşları içeriyor. Uluslararası yaptırımların ihlali.
ABD Adalet Bakanlığı iddianameleri ile birleştiğinde, faaliyetin artan farkındalığı, “BT işçi operasyonlarının küresel olarak genişlemesini” teşvik etti ve Google, BT’nin Almanya ve Portekiz’de bulunan çeşitli kuruluşlarda istihdam arayan birkaç uyumlu kişiyi ortaya çıkardığını belirtti.
BT işçileri, Birleşik Krallık’ta web geliştirme, bot geliştirme, içerik yönetim sistemi (CMS) gelişimi ve blockchain teknolojisi ile ilgili çeşitli projeler üstlenerek, genellikle kimliklerini tahrif eder ve İtalya, Japonya, Malezya, Singapur, Ukrayna, ABD ve Vietnam’dan geldiğini iddia eder.
Vietnamlı, Japon ve Singapur vatandaşları olarak poz veren BT işçilerinin bu taktiği vurgulanmış Geçen ayın başlarında yönetilen istihbarat firması Nisos tarafından, yeni kişiler yapmak veya yeni kişilerden portföy içeriğini geri dönüştürmek için GitHub kullanımına dikkat çekerken.
“Avrupa’daki BT işçileri, Upwork, Telegram ve Freelancer da dahil olmak üzere çeşitli çevrimiçi platformlar aracılığıyla işe alındı.” söz konusu. “Hizmetleri için ödeme kripto para birimi, Transferwise Hizmet ve Payoneer yoluyla kolaylaştırıldı ve fonların kökenini ve varış noktasını gizleyen yöntemlerin kullanımını vurguladı.”
Yerden iş işlerine yardımcı olmak için yerel kolaylaştırıcıları kullanmanın yanı sıra, içeriden gelen tehdit operasyonu, Ekim 2024’ten bu yana, bu işçilerin mülkiyet verilerini serbest bırakmalarını veya bir rakibe sunmalarını önlemek için işverenlerinden fidye ödemelerine başvurdukları kamu bilgisi haline geldiğinde, gasp denemelerinde bir artış gibi görünen şeye tanıklık ediyor.
Programın başka bir evrimi gibi görünen bir şeyde, BT çalışanlarının, bu tür cihazların işletme ortamlarında kullanılan geleneksel güvenlik ve günlüğe kaydetme araçlarına sahip olması muhtemel olmaması nedeniyle kendi cihazınızı (BYOD) politikanızı işleten şirketleri hedefledikleri söyleniyor.
Collier, “Avrupa’nın hızlı uyanması gerekiyor. BT işçi operasyonlarının artı işaretlerinde olmasına rağmen, çok fazla ABD sorun olarak algılıyor. Kuzey Kore’nin son değişimleri muhtemelen ABD operasyonel engellerinden kaynaklanıyor ve işçilerin çevikliğini ve değişen koşullara uyum sağlama yeteneğini gösteriyor.” Dedi.
“On yıllık çeşitli siber saldırılar, Kuzey Kore’nin hızlı hedefleme ve fidye yazılımlarından kripto para birimi hırsızlığı ve tedarik zinciri uzlaşmasına kadar son artışından önce geliyor. Bu acımasız inovasyon, rejimi siber operasyonlar yoluyla finanse etmek için uzun süredir devam eden bir taahhüt gösteriyor.”
