Siber güvenlik araştırmacıları, tehdit aktörlerinin işe alım profesyonellerini tehlikeli kötü amaçlı yazılım yüklerini dağıtmak için taklit ettikleri sofistike bir saldırı kampanyası ortaya çıkardılar.
29 Kasım 2024’te, tehdit aktörleri, Bitbucket bağlantıları aracılığıyla paylaşılan proje dosyaları içinde gizlenmiş kötü amaçlı kodları dağıtmak için popüler bir geliştirici topluluğu olan Dev.To’ya kim taklit etti.
.webp)
Saldırı, tehdit aktörlerinin iş arayanların potansiyel istihdam fırsatlarını gözden geçirme hevesinden yararlandığı artan bir eğilimi temsil ediyor.
Kötü niyetli paketler iki temel bileşen içerir: Beaverail, meşru bir “tailwind.config.js” yapılandırma dosyası olarak gizlenmiş JavaScript tabanlı bir kötü amaçlı yazılım ve “Car.dll” olarak tanımlanan bir indirici bileşeni.
Yürütüldükten sonra, bu bileşenler enfekte sistemlerden hassas bilgileri çalmak ve kalıcı arka kapı erişimi oluşturmak için birlikte çalışır.
Saldırganlar özellikle Web tarayıcısı kimlik bilgisi bilgilerini ve kripto para birimi cüzdan verilerini hedefleyerek hem acil finansal kazanç hem de uzun vadeli sistem uzlaşmasına odaklanırlar.
ASEC analistleri, Beaverail’in ağırlıklı olarak iş teklifleri olarak maskelenen kimlik avı saldırıları yoluyla dağıtıldığını ve önceki kampanyalar LinkedIn kullanıcılarını hedeflediğini belirledi.
Birçok vaka yurtdışından kaynaklanırken, araştırmacılar Güney Kore’de ilgili enfeksiyon günlüklerini keşfettiler.
Kurulum yolları genellikle güvenlik ekiplerinin izlemesi için potansiyel uzlaşma göstergeleri sağlayan “AutoPart” ve “Autosquare” gibi anahtar kelimeler içerir.
Kampanya, kaçınma ve kalıcılığın korunması için sofistike teknikler göstermektedir.
İlk enfeksiyondan sonra, kötü amaçlı yazılım gerçek işlevselliğini gizlemek için gizleme rutinleri kullanır ve yüklerini yürütmek için PowerShell ve Rundll32 gibi meşru pencerelerden yararlanır.
Bu “araziyi yaşamak” yaklaşımı, kötü amaçlı yazılımın normal sistem işlemleriyle karışmasına yardımcı olarak algılama çabalarını karmaşıklaştırmaya yardımcı olur.
Kanıtlar, Kuzey Koreli tehdit aktörlerinin katılımına işaret ediyor, Lazarus grubuna atfedilen önceki kampanyalarda kullanılan teknikler ve altyapı ile eşleşiyor.
Yerleşik Windows komutlarının uygulanması, daha önce güvenlik firması ESET tarafından belgelenen LightlessCan kötü amaçlı yazılımlarını yansıtıyor.
Enfeksiyon mekanizması analizi
Enfeksiyon süreci, mağdurların inceleme için kod depolarına bağlantılar içeren meşru işe alım e -postaları aldıklarında başlar.
Depoyu inceledikten sonra, kurbanlar standart bir web geliştirme projesi gibi görünen şeyleri bulurlar.
Ancak, dosyaların içine gömülü, bir PowerShell komutu aracılığıyla “car.dll” yükünü yürüten “tailwind.config.js” dosyasındaki gizlenmiş JavaScript kodudur.
.webp)
Etkin yazılım etkinleştirildikten sonra, şifreli kanallar kullanarak komut ve kontrol (C&C) sunucuları ile iletişim kurar.
Tropidoor olarak adlandırılan arka kapı bileşeni, operatörleriyle güvenli iletişim için bir RSA genel anahtarı ile şifrelenmiş rastgele bir 0x20 bayt anahtarı üretir.
Daha sonra sistem bilgilerini toplar ve dosya manipülasyonu, ekran görüntüsü yakalama ve proses enjeksiyonu dahil 20’den fazla farklı komutu destekleyen yapılandırılmış bir URL biçimi aracılığıyla daha fazla talimat bekler.
Kullanıcılar, kod depoları içeren istenmeyen iş teklifleri alırken çok dikkatli olmalı ve ekli içerikle etkileşime girmeden önce resmi kanallar aracılığıyla işe alım e -postalarının meşruiyetini doğrulamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free