Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) JINX-0164 Tehdit Aktörü

JINX-0164 Tehdit Aktörü

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım, Mobil Kötü Amaçlı Yazılım'de
Çevir:

Daha önce belgelenmemiş bir tehdit aktörü olan JINX-0164, kripto para kuruluşlarına karşı oldukça hedefli bir siber saldırı düzenledi. Bu saldırıda, üye kazanma temalı sosyal mühendislik yöntemleri ve özel olarak geliştirilmiş macOS kötü amaçlı yazılımları kullanılarak dijital varlıklar çalındı. En az 2025 ortalarından beri aktif olan ve finansal motivasyonlu olan grup, ağırlıklı olarak geliştiricilere odaklandı ve en az bir doğrulanmış olayda yazılım tedarik zincirinde bir güvenlik açığı oluşturdu.

Bu saldırı, aldatıcı işe alım taktikleri, kötü amaçlı yazılım yayılımı ve CI/CD ortamlarına derinlemesine sızmanın gelişmiş bir kombinasyonunu sergiliyor. Saldırganlar, çalışanların iş istasyonlarını ele geçirerek geliştirme altyapısına ve kod dağıtım sistemlerine yatay olarak ilerlemeyi başardılar ve saldırıların kapsamını ve etkisini önemli ölçüde artırdılar.

İşe alım dolandırıcılıkları giriş noktası haline geliyor.

JINX-0164, hedef alınan kripto para birimiyle ilgili kuruluşlarda çalışan geliştiriciler ve çalışanlarla iletişime geçmek için LinkedIn'deki ikna edici profillere dayanmaktadır. Mağdurlar, meşru telekonferans platformlarını taklit eden sahte alan adlarında düzenlenen sanal toplantılara katılmaya davet edilir.

Sahte toplantı kurulum sürecinde, hedef kişilere toplantı istemcisi veya teknik düzeltme gibi görünen bir dosya indirmeleri talimatı verilir. Gerçekte, indirilen dosya, sahte bir sürücü dağıtım alan adı olan 'apple.driver-store.com' adresinden AUDIOFIX olarak bilinen Python tabanlı bir macOS bilgi hırsızı ve uzaktan erişim truva atını indirerek enfeksiyon zincirini başlatır.

Bulaşma süreci, kurbanın sistem mimarisini tanımlayabilen bir bash betiği aracılığıyla kolaylaştırılır ve bu sayede kötü amaçlı yazılım hem Intel tabanlı hem de Apple Silicon macOS cihazlarında sorunsuz bir şekilde çalışabilir. Zararlı yazılım, 'coreaudiod' adlı bir sistem ses sürücüsü olarak kendini gizler, yerel olarak 'ChromeUpdater' olarak depolanır ve kalıcılığı sağlamak için macOS launchctl mekanizmaları kullanılarak başlatılır.

AUDIOFIX Derin Sistem Tavizine İzin Veriyor

AUDIOFIX, devreye alındıktan sonra kapsamlı kimlik bilgisi hırsızlığı ve keşif operasyonları gerçekleştirirken aynı zamanda iç altyapıya yatay geçişi de destekliyor. Araştırmacılar, kötü amaçlı yazılımın geliştirme sistemlerine zararlı yükler enjekte etmek ve ek uç noktaları tehlikeye atmak ve kripto para cüzdanı kimlik bilgilerini ele geçirmek amacıyla kaynak kodunu değiştirmek için kullanıldığını gözlemledi.

Bu kötü amaçlı yazılım, aşağıdakiler de dahil olmak üzere çok çeşitli hassas bilgileri çalabilir:

  • Parola yöneticisi kimlik bilgileri, tarayıcı verileri, iCloud Anahtar Zinciri dosyaları, SSH anahtarları, yönetici kimlik bilgileri, konsol geçmişi kayıtları ve yapılandırma dosyaları.
  • Kripto para cüzdan adresleri, kripto hizmetleriyle bağlantılı tarayıcı uzantısı verileri ve Discord, Slack ve Telegram'dan aktif oturumlar.

AUDIOFIX, bilgi hırsızlığının ötesinde, uzaktan komut çalıştırma, dosya silme, zararlı yazılım gönderme, keşif faaliyetleri ve virüs bulaşmış sistemlerden veri sızdırma gibi işlemleri de desteklemektedir.

MiniRAT, tedarik zinciri suistimali yoluyla tehdidi genişletiyor.

Operasyonun bir diğer önemli bileşeni ise, '@velora-dex/sdk' adlı ele geçirilmiş bir npm paketine bağlı Go tabanlı bir arka kapı olan MiniRAT'tır. Bu paket, VeloraDEX platformunda token takasları, delta ticareti ve limit emirleri için kullanılan meşru bir merkeziyetsiz finans araç setiyle ilişkilendirilmiştir.

Paketin kötü amaçlı sürümü, uzak bir sunucudan bir shell betiği alarak, sonuç olarak macOS'a özgü bir MiniRAT ikili dosyasını dağıttı. Kurulduktan sonra, kötü amaçlı yazılım saldırganların dosya yüklemesine, rastgele shell komutları yürütmesine ve saldırgan kontrolündeki altyapıdan ek zararlı yazılımlar indirmesine olanak sağladı.

JINX-0164, sahte işe alım fırsatları ve kurbanların sahte yazılım düzeltmeleri yüklemesini gerektiren uydurma teknik sorunlar içeren sosyal mühendislik taktiklerini tekrar tekrar kullandı. Bu tutarlı metodoloji, grubun insan manipülasyonuna birincil sızma vektörü olarak verdiği güçlü önemi vurgulamaktadır.

Kuzey Kore Siber Operasyonlarıyla Olası Bağlantılar

Kampanyanın bazı özellikleri, daha önce BlueNoroff, Contagious Interview ve UNC1069 gibi Kuzey Koreli siber tehdit gruplarıyla ilişkilendirilen faaliyetlere benziyor. Araştırmacılar, hedefleme kalıplarında, sahte alan adlarında ve Astrill VPN gibi VPN hizmetlerinin kullanımında benzerlikler olduğunu belirtti.

Bu örtüşmelere rağmen, araştırmacılar JINX-0164'ü doğrudan Kuzey Kore devlet destekli operasyonlara bağlayan herhangi bir doğrulanmış altyapı bağlantısı tespit edememiştir. Mevcut kanıtlar, kesin bir ilişkilendirmeden ziyade operasyonel benzerliklere işaret etmektedir.

trend

E-posta Kutusu Hizmeti Yükseltme E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, hassas bilgileri çalmak amacıyla kimlik avı kampanyalarını düzenli olarak rutin güvenlik uyarıları veya hizmet bildirimleri gibi gösterirler. "Posta Kutusu Hizmeti Yükseltme" e-postaları da bu tür bir dolandırıcılığın parçasıdır ve herhangi bir meşru e-posta sağlayıcısı, şirket, kuruluş veya...

En çok görüntülenen

Yükleniyor...