2024’ün başlarından beri ESET araştırmacıları, Kuzey Kore uyumlu operatörlerle bağlantılı bir dizi kötü amaçlı kampanya olan VeripedEvelopment’ı izliyor. Kendilerini yazılım geliştirme işe alım görevlileri olarak gizleyen bu tehdit aktörleri, kurbanları sahte iş teklifleriyle çekiyor ve kötü amaçlı yazılımlarla gömülü yazılım projeleri sunuyor.
“Sahte bir iş görüşmesi sürecinin bir parçası olarak, aldatıcı geliştirme operatörleri, hedeflerinden, mevcut bir projeye bir özellik eklemek gibi bir kodlama testi yapmalarını ister ve genellikle GitHub’da veya diğer benzer platformlarda özel depolarda barındırılan görevler için gerekli dosyalarla . Ne yazık ki istekli çalışma adayı için bu dosyalar truva atılıyor: Projeyi indirip yürüttüklerinde, kurbanın bilgisayarı tehlikeye giriyor, ”diye açıklıyor ESET araştırmacısı Matěj Havránek
Atıf
Alınan geliştirmenin ilişkisi doğrulanmamış olsa da, taktikleri bilinen Kuzey Kore’ye hizalanmış siber operasyonlarınkini yakından yansıtır. Kampanya, öncelikle iş avı ve serbest çalışan platformlarda spearphing yoluyla serbest yazılım geliştiricilerini, tarayıcılardan ve şifre yöneticilerinden kripto para cüzdanları ve giriş bilgilerini çalmak için hedefliyor.
Alınan Geliştirme, Kuzey Kore bağlantılı diğer operasyonlara benzer taktikler, teknikler ve prosedürler (TTP’ler) kullanır. Operatörleri, siber sorumlulukla ilgili potansiyel ikincil hedeflerle finansal kazanç için kripto para çalmayı amaçlayan Windows, Linux ve macOS’daki geliştiricileri özellikle hedefliyor.
Hedeflerine sızmak için, sosyal medyada sahte işe alım profilleri, meşru işverenler olarak maskelenerek kullanıyorlar. Saldırıları coğrafi olarak kısıtlanmamıştır; Bunun yerine, mağdurlardan ödün verme ve fon ve hassas bilgiler çıkarma şanslarını en üst düzeye çıkarmak için geniş bir ağ oluşturdular.
Geliştirme Nasıl Çalışır?
Alınan Geliştirme, faaliyetlerinin bir parçası olarak iki aşamada teslim edilen iki kötü amaçlı yazılım kullanır. İlk aşamada, Beaverail (Infostealer, Downloader) basit bir oturum açıcısı olarak hareket eder, kaydedilmiş girişler içeren tarayıcı veritabanlarını çıkarır ve ikinci aşama için bir indirici olarak, casus yazılım ve arka kapı bileşenlerini içeren Forcifiberfret (Infostealer, Rat) ve Ayrıca, Meşru AnyDesk uzaktan yönetimi ve izleme yazılımını, işbirliği sonrası faaliyetler için indirme yeteneğine sahiptir.
İşveren olarak poz vermek için, saldırganlar mevcut kişilerin profillerini kopyalıyor ve hatta yeni kişiler inşa ediyorlar. Daha sonra ya potansiyel kurbanlarına iş avı ve serbest çalışan platformlara doğrudan yaklaşırlar ya da orada sahte iş listeleri yayınlarlar. Bu profillerin bazıları saldırganların kendileri tarafından kurulurken, diğerleri platformdaki gerçek insanların potansiyel olarak tehlikeye atılmış profilleri, saldırganlar tarafından değiştirildi.
Bu etkileşimlerin meydana geldiği platformlardan bazıları genel iş avcısı olan platformlar, diğerleri ise öncelikle kripto para birimi ve blockchain projelerine odaklanıyor ve bu nedenle saldırganların hedeflerine daha uygun. Platformlar arasında LinkedIn, Upwork, Freelancer.com, uzaktan çalışıyoruz, ay ışığı ve kripto işleri listesi.
Mağdurlar proje dosyalarını doğrudan sitedeki dosya aktarımı yoluyla veya GitHub, GitLab veya Bitbucket gibi bir depoya bağlantı yoluyla alırlar. Dosyaları indirmeleri, özellikler eklemeleri veya hataları düzeltmeleri ve işe alım görevlisine rapor vermeleri istenir. Ayrıca, ilk uzlaşmanın gerçekleştiği yer olan projeyi test etmek için oluşturmaları ve yürütmeleri talimatı verilmektedir.
Saldırganlar genellikle kötü amaçlı kodlarını gizlemek için akıllı bir hile kullanırlar: onu, uzun bir yorumun arkasında tek bir satır olarak ekledikleri geliştiriciye verilen görevle ilgisi olmayan arka uç kodunda, projenin başka türlü iyi huylu bir bileşenine yerleştirirler. . Bu şekilde, ekrandan taşınır ve çoğunlukla gizli kalır.
Havránek, “Aldat edilen geliştirme kümesi, Kuzey Kore’ye hizalanmış aktörler tarafından kullanılan zaten geniş bir para kazanma şeması koleksiyonuna bir katkı ve geleneksel paradan kripto para birimlerine kayma eğilimine uyuyor” diyor.