Ünlü Chollima olarak da bilinen Kuzey Koreli bağlantılı Chollima Gelişmiş Kalıcı Tehdit (APT) grubu, en azından Aralık 2022’den bu yana, öncelikle yazılım geliştirmedeki iş arayanları hedefleyen kalıcı bir siber casusluk kampanyası düzenliyor ve sektörleri Amerika Birleşik Devletleri temelli organizasyonlara sızmak için sektörler.
Bu operasyon, saldırganların kurbanları video konferans veya işbirliği platformları aracılığıyla yürütülen meşru çevrimiçi görüşmelere çekmek için fabrikasyon kimlikler kullanan işe alım yapanlar veya iş başvuru sahipleri olarak poz verdiği karmaşık sosyal mühendislik tekniklerinden yararlanmaktadır.
Sofistike Sosyal Mühendislik
Tehdit aktörleri, istihdam için çaresizlik veya serbest fırsatların peşinde koşmak gibi iş avının doğasında var olan güvenlik açıklarından yararlanarak katılımcıları GitHub’da barındırılan kötü amaçlı Düğüm Paket Yöneticisi (NPM) paketlerini indirmeye ve yüklemeye ikna eder.
Bu paketler, görüşme sırasında gözden geçirme veya teknik değerlendirme için benign yazılım olarak sunulur, ancak Python tabanlı InvisibleFerret de dahil olmak üzere Windows, Linux ve MacO’larda çalışabilen platformlar arası arka kapı kötü amaçlı yazılımları dağıtmak için tasarlanmış gizlenmiş JavaScript yüklerini gömürler.
Bu yaklaşım sadece GitHub’daki Github’daki güvenden yararlanmakla kalmaz, aynı zamanda teknik görüşmelerde ortak ekran paylaşımı ve kod testinin ortak uygulamasından da yararlanır ve enfeksiyon sürecinin rutin ve zarar verici görünmemesini sağlar.
Bazı durumlarda, saldırganlar yakın zamanda eski işveren sistemlerine veya hassas verilere erişimi koruyabilen bireyleri hedef alarak, güçlendirilmiş kurumsal savunmalara doğrudan saldırı olmadan organizasyonel ağlara dolaylı bir yol sağlıyor.
Komut ve kontrol mekanizmaları
Saldırı zinciri, saldırganların kurban tarafından klonlama ve çalıştırma üzerine yürütülen kötü amaçlı NPM paketleri içeren depolar yükledikleri bir tedarik zinciri vektörü olarak GitHub istismarı yoluyla ilerliyor.
Rapora göre, bu paketler, güvenli iletişim için XOR şifrelemesini kullanarak bir komut ve kontrol (C2) sunucusuna ters TCP bağlantısı oluşturan bağımlılıkları yükleyen ve InvisibleFerret Backdoor’u dağıtan gizlenmiş JavaScript kodu içerir.
Backdoor’un yetenekleri, uzaktan komut yürütme, tarayıcılardan kimlik bilgisi hırsızlığı ve veri açığa çıkması, hepsi de şifre çözme için aynı XOR tuşunu içeren C2 sunucusundan JSON biçimlendirilmiş talimatlarla kolaylaştırılmıştır.
Özellikle, hedeflenen yazılım mühendisleri tipik olarak Python ortamlarına sahip olduğundan ve PowerShell gibi güvenlik tespitlerini tetikleyebilecek yerel pencere araçlarından farklı olarak alarmlar kaldırmadan kesintisiz yürütmeye izin verdiği için, arka kapı için Python’a olan güven stratejiktir.
Saldırganlar bu NPM paketlerini, dizinleri başlatmak için standart komutlar kullanarak oluşturur ve yükleri yükü yükleni gibi dosyalara gömmek için, başlangıçta ‘whoami’ gibi benign komutlarla test ederek, bunları Bear-C2 gibi araçlarla gizlenmiş kötü amaçlı kodlarla değiştirmeden önce tespit eder.
Depo yorumlarını devre dışı bırakma gibi operasyonel güvenlikteki hatalar, araştırmacılar uyarılardan ayrıldıklarında bu depoları ortaya çıkardı ve teknik karmaşıklığına rağmen kampanyanın insan hatalarının altını çizdi.
Dağıtım yapıldıktan sonra, kötü amaçlı yazılım, kimlik bilgilerini hasat etmek için meşru giriş sayfalarını taklit eden aldatıcı URL’ler açar ve kimlik avı öğelerini kalıcı erişim için ters kabukla birleştirir.
Bu çok aşamalı taktik, Chollima’nın geliştirici iş akışlarına uyumunu vurgular, sosyal manipülasyonu ABD varlıklarına karşı casusluk hedeflerine ulaşmak için teknik sömürü ile harmanlayarak, işle ilgili etkileşimlerde ve kod incelemelerinde artan uyanıklık ihtiyacını vurgular.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!