Bluenoroff olarak bilinen Kuzey Kore’ye uyumlu tehdit aktörü, Web3 sektöründe bir çalışanı, DeepFaked şirket yöneticilerinin Apple MacOS cihazlarına kötü amaçlı yazılım yüklemeleri için kandırmak için aldatıcı zoom çağrılarıyla hedefliyor.
Siber izinsiz girişin ayrıntılarını ortaya çıkaran Huntress, saldırının Telegram’daki harici bir temastan mesaj alan isimsiz bir kripto para birimi vakfı çalışanını hedef aldığını söyledi.
Güvenlik araştırmacıları Alden Schmidt, Stuart Ashenbrenner ve Jonathan Semon, “Mesaj, çalışanla konuşmak için zaman istedi ve saldırgan toplantı süresini ayarlamak için bir takvim bağlantısı gönderdi.” Dedi. “Calendly Link bir Google Meet etkinliği içindi, ancak tıklandığında URL, son kullanıcıyı tehdit oyuncusu tarafından kontrol edilen sahte bir zoom alanına yönlendiriyor.”
Birkaç hafta sonra, çalışanın diğer dış temaslarla birlikte şirketlerinin üst düzey liderliğinin bilinen üyelerinin birkaç derin yorganını içeren bir grup zoom toplantısına katıldığı söyleniyor.
Bununla birlikte, çalışan mikrofonlarını kullanamadıklarını söylediğinde, sentetik kişiler onları sözde sorunu ele almak için bir zoom uzantısı indirmeye ve yüklemeye çağırdı. Telegram aracılığıyla paylaşılan uzantının bağlantısı, “zoom_sdk_support.scpt” adıyla bir elma belgesi indirdi.
Bu Applescript ilk olarak Zoom Yazılım Geliştirme Kiti (SDK) için meşru bir web sayfası açar, ancak aynı zamanda uzak bir sunucudan gizlice bir sonraki aşamalı yükü indirmek için yapılandırılır (“Destek[.]US05Web-Zoom[.]Biz “) ve bir kabuk komut dosyası yürütür.
Komut dosyası, BASH geçmiş günlüğünü devre dışı bırakarak başlar ve ardından Rosetta 2’nin tehlikeye atılmış MAC’e yüklenip yüklenmediğini kontrol eder ve değilse yükler. Rosetta, Apple Silikon çalıştıran Mac’lerin Intel işlemcisi olan bir Mac için oluşturulan uygulamaları çalıştırmasını sağlayan bir yazılımdır (x86_64).
Komut dosyası daha sonra “.pwd” adlı gizli bir dosya oluşturmaya devam eder ve kötü amaçlı zoom web sayfasından bir ikili indirir (“Web071Zoom[.lus/fix/audio-fv/7217417464”) to the “/tmp/icloud_helper” directory. It also performs another request to “web071zoom[.]US/FIX/Audio-TR/7217417464 “Belirtilmemiş başka bir yükü almak için.
Kabuk komut dosyası ayrıca kullanıcıyı sistem şifrelerini sağlamaya teşvik eder ve adli bir iz bırakmaktan kaçınmak için yürütülen komutların geçmişini siler. Huntress, soruşturmasının kurban sunucusunda sekiz farklı kötü niyetli ikili keşfe yol açtığını söyledi –
- Telegram 2birincil arka kapıyı başlatmaktan sorumlu NIM tabanlı bir ikili
- Kök Troy V4Uzak AppleScript yükleri, kabuk komutları çalıştırmak ve ek kötü amaçlı yazılımları indirmek ve bunları yürütmek için kullanılan tam özellikli bir GO BACHOOOD
- EnjektewithdyldRoot Troy V4 tarafından indirilen bir C ++ İkili Yükleyici, bu da iki yük daha bırakır: Benign Swift uygulaması süreç enjeksiyonunu kolaylaştırmak ve farklı NIM implantı Bu, operatörün komutlar vermesini ve eşzamansız olarak yanıt almasını sağlar
- Xscreenkurbanın tuş vuruşlarını, panoyu ve ekranı izlemek ve bilgileri bir komut ve kontrol (C2) sunucusuna göndermek için özelliklere sahip objektif-c Keylogger
- Kriptobotana bilgisayardan kripto para ile ilgili dosyaları toplayabilen Go tabanlı bir bilgi çalma
- Netchksonsuza kadar rastgele sayılar üretmek için tasarlanmış neredeyse boş bir ikili
Bluenoroff, aynı zamanda Çekici Balık, APT38, Black Alicanto, Copernicium, Nikel Gladstone, Stardust Chollima ve TA444 isimleri altında izlenen Bluenoroff, Lazarus Grubu içinde, çarpıcı finansal kurumlar, kriptokrans işletmeleri için ve ATM’lerin, kınama ve ATM’ler için bir alt kümedir ve KORA’NIN KORA (DEPRAK KURULUM).
Grup en iyi, kötü niyetli kripto para ticareti uygulamaları ile blockchain araştırmalarında çalışan kuruluşların çalışanlarını hedeflemek için trenTraitor olarak bilinen bir dizi kripto para birimi soygunu düzenlemekle bilinir. Önemli davalardan bazıları Şubat 2025’te Bybit’in hack’lerini ve Mart 2022’de Axie Infinity yer alıyor.
Huntress, “Uzak işçiler, özellikle yüksek riskli çalışma alanlarında, TA444 gibi gruplar için genellikle ideal hedeflerdir.” Dedi. Diyerek şöyle devam etti: “Uzaktan toplantı yazılımı ile ilgili sosyal mühendislikle başlayan ortak saldırıları belirlemek için çalışanları eğitmek önemlidir.”
DTEX’in Kuzey Kore’nin siber yapısı hakkındaki son değerlendirmesine göre, APT38 misyonu artık mevcut değil ve tradertraitor (aka jade sleet ve unc4899) ve cryptocore’a (diğer aka cagohkameleon, dangeypasswordword, leeryturtle ve sapirle sleet) yeni clusters olmak için kırıldı.
DTEX, “TraderTraitor, kripto para hırsızlığı söz konusu olduğunda, DPRK apt gruplarından herhangi birinin tartışmasız en üretkenleridir ve orijinal APT38 çabasından en fazla yeteneği barındırmış gibi görünüyor.” Dedi. “Cryptocore en az 2018’den beri aktif, muhtemelen APT38’den Tradertraitor ile ayrılıyor.”
Dahası, aday kurbanları kötü amaçlı yazılımlarla uzlaştırmak için kandırmak için ses sorunu temalı yemlerin kullanılması, yankılarını Golangghost adlı başka bir kötü amaçlı yazılım sunmak için ClickFix tarzı uyarılar kullanmayı içeren başka bir Kuzey Kore bağlantılı kampanyanın evriminde.
Tıklama paketi röportajı olarak adlandırılan yeni yineleme, sahte iş reklamları oluşturmak ve iş başvuru sahiplerini, tehdit aktörleri tarafından işe alım değerlendirmelerini tamamlamak için kurulan sahte bir web sitesinde erişim kamerası ve mikrofonla ilgili bir sorunu ele alma bahanesi altında kopyalama ve çalıştırma için döner.
Cisco Talos’a göre bu platformlar arası saldırılar, o zamandan beri daha da gelişti ve Pylangghost olarak adlandırılan Golangghost’un Python versiyonunu kullandı. Sahte değerlendirme siteleri, Archblock, Coinbase, Robinhood ve UNISWAP gibi tanınmış finansal varlıkları taklit eder ve esas olarak Hindistan’da bulunan küçük bir kullanıcıyı hedeflediği bulunmuştur.
Güvenlik Araştırmacı Vanja Svajcer, “Son kampanyalarda, potansiyel olarak birden fazla gruptan oluşan tehdit oyuncusu ünlü Chollima, MacOS kullanıcıları için Golang tabanlı bir sürüm dağıtmaya devam ederken, Windows sistemlerini hedeflemek için Truva atlarının python tabanlı bir versiyonunu kullanıyor.” Dedi. “Linux kullanıcıları bu son kampanyalarda hedeflenmiyor.”
Pylangghost, Golang muadili gibi, saldırganların enfekte makineyi uzaktan kontrol etmesini, dosyaları indirmesini/yüklemesini ve şifre yöneticileri ve kripto para cüzdanları da dahil olmak üzere 80’den fazla tarayıcı uzantısından çerezleri ve kimlik bilgilerini çalmasını sağlayan komutlar almak için bir C2 sunucusu ile iletişim kurar.
“Açık değil […] Tehdit aktörleri neden farklı bir programlama dili kullanarak iki varyant oluşturmaya karar verdiler, “Talos belirtti”. Yapı, adlandırma kuralları ve işlev adları çok benzerdir, bu da farklı sürümlerin geliştiricilerinin birlikte yakın çalıştığını veya aynı kişi olduğunu gösterir. “