COVERTCATCH Kötü Amaçlı Yazılım
Kuzey Koreli tehdit aktörlerinin, sahte iş alım planları aracılığıyla geliştiricileri hedef almak için LinkedIn'i kullandığı bulundu. Önemli bir taktik, ilk enfeksiyon yöntemi olarak kodlama testlerini kullanmayı içerir. Hedefle bir sohbete girdikten sonra saldırgan, aslında COVERTCATCH kötü amaçlı yazılımını içeren bir Python kodlama zorluğu olarak gizlenmiş bir ZIP dosyası gönderir. Bu kötü amaçlı yazılım yürütüldüğünde, hedefin macOS sistemine bir saldırı başlatır ve Launch Agents ve Launch Daemons kullanarak kalıcılık sağlamak için ikinci aşama bir yük indirir.
İçindekiler
Kuzey Kore Siber Suçlarda Önemli Bir Oyuncu Olmaya Devam Ediyor
Ancak bu, Kuzey Koreli bilgisayar korsanlarının kötü amaçlı yazılım yaymak için iş amaçlı tuzaklar kullanarak gerçekleştirdiği Operasyon Rüya İş ve Bulaşıcı Röportaj gibi çeşitli faaliyet kümelerinden sadece bir örnek.
İşe alım temalı taktikler, RustBucket ve KANDYKORN gibi kötü amaçlı yazılım ailelerini dağıtmak için de yaygın olarak kullanılmıştır. Şu anda, COVERTCATCH'in bunlarla mı yoksa yeni keşfedilen TodoSwift ile mi ilgili olduğu belirsizdir.
Araştırmacılar, büyük bir kripto para borsasında 'Finans ve Operasyon Başkan Yardımcısı' için bir iş tanımı olarak gizlenmiş bozuk bir PDF'in bulunduğu bir sosyal mühendislik kampanyası tespit ettiler. Bu PDF, dosya yürütmeyi destekleyen Rust tabanlı bir arka kapı olan RustBucket adlı ikinci aşama bir kötü amaçlı yazılımı düşürdü.
RustBucket implantı temel sistem bilgilerini toplayabilir, belirtilen bir URL ile iletişim kurabilir ve 'Safari Güncellemesi' gibi görünen bir Başlatma Aracısı aracılığıyla kalıcılık sağlayabilir, böylece sabit kodlanmış bir Komuta ve Kontrol (C2) alanıyla iletişim kurabilir.
Kuzey Koreli Hacker Grupları Evrimleşmeye Devam Ediyor
Kuzey Kore'nin Web3 organizasyonlarına odaklanması, 3CX ve JumpCloud'u içeren son olaylarda gösterildiği gibi, sosyal mühendisliğin ötesine geçerek yazılım tedarik zinciri saldırılarını da kapsar. Saldırganlar kötü amaçlı yazılım aracılığıyla erişim sağladıktan sonra, kimlik bilgilerini toplamak, kod depoları ve belgeler aracılığıyla dahili keşif yapmak ve sıcak cüzdan anahtarlarını ortaya çıkarmak ve nihayetinde fonları boşaltmak için bulut barındırma ortamlarına sızmak üzere parola yöneticilerine geçerler.
Bu açıklama, ABD Federal Soruşturma Bürosu'nun (FBI) Kuzey Koreli tehdit aktörlerinin, son derece uzmanlaşmış ve tespit edilmesi zor sosyal mühendislik kampanyalarıyla kripto para sektörünü hedef aldığına dair yaptığı uyarıyla birlikte geldi.
Bu devam eden çabalar genellikle işe alım şirketlerini veya tanıdık kişileri taklit etmeyi, istihdam veya yatırım fırsatları sunmayı içerir. Bu tür taktikler, uluslararası yaptırımlar altında kalmaya devam eden Kuzey Kore için yasadışı gelir elde etmeyi amaçlayan cüretkar kripto soygunları için bir geçit görevi görür.
Tehdit Aktörleri Hedefleri Enfekte Etmek İçin Kişiselleştirilmiş Taktikler Kullanıyor
Bu aktörlerin kullandığı temel taktikler şunlardır:
- Kripto parayla ilgili işletmeleri hedefliyoruz.
- Kurbanlarıyla temasa geçmeden önce kapsamlı bir operasyon öncesi araştırma yürütüyorlar.
- Başarı olasılığını artırmak için son derece kişiselleştirilmiş sahte senaryolar yaratmak.
Kurbanın yalnızca birkaç kişi tarafından bilindiğini düşünebileceği ilgi alanları, bağlılıklar, etkinlikler, ilişkiler veya profesyonel bağlantılar gibi kişisel ayrıntılara atıfta bulunabilirler. Bu yaklaşım, ilişki kurmak ve nihayetinde kötü amaçlı yazılım sunmak için tasarlanmıştır.
İletişim kurmayı başarırlarsa, ilk aktör veya ekibin diğer bir üyesi, meşruiyet görünümünü güçlendirmek ve bir samimiyet ve güven duygusu yaratmak için kurbanla etkileşime girerek önemli miktarda zaman harcayabilir.
