.webp?w=696&resize=696,0&ssl=1 "Tıklama paketi görüşmesi")
Kuzey Koreli devlet destekli bir hack kolektifi olan Lazarus Group, kripto para birimi endüstrisindeki iş arayanları hedefleyen yeni bir kampanya Click Pale röportajı başlattı.
Bu kötü niyetli işlem, hem Windows hem de MacOS sistemlerinde Golangghost olarak bilinen GO tabanlı bir arka kapı dağıtmak için sahte iş görüşmesi web sitelerini kullanır.
Kampanya, Lazarus’un uyarlanabilirliğini ve kripto para birimi ekosisteminden yararlanmaya sürekli odaklanan daha önce belgelenmiş bulaşıcı röportaj kampanyasının bir evrimini temsil ediyor.
Lazarus, en az 2009’dan beri aktiftir ve Kuzey Kore’nin füze ve nükleer programlarını desteklemek için siber casusluk ve finansal operasyonlar yürütür.
2017’den bu yana, grup giderek daha fazla kripto para birimi varlıklarını hedef aldı, kötü amaçlı yazılımlardan, tedarik zinciri saldırılarından, truva atlı uygulamaları ve sahte iş tekliflerinden yararlandı.
Mart 2025’te Lazarus, tarihteki en büyük kripto soygunu idam etti ve BAE merkezli bir değişim olan Bybit’ten 1.5 milyar dolar çaldı-büyüyen sofistike bir saldırı.
Tıklama Paketi Görüşme Kampanyası
Tıklama plakası görüşmesi kampanyası, LinkedIn veya X (eski adıyla Twitter) gibi platformlarda gerçekleştirilen sahte iş görüşmeleri aracılığıyla yazılım geliştiricilerini hedefleyen bulaşıcı görüşme taktikleri üzerine kuruludur.
Bu yeni kampanyada, saldırganlar kurbanları ReactJS kullanarak hazırlanmış sahte röportaj web sitelerine çekiyor. Bu siteler, JavaScript dosyalarından yüklenen dinamik içeriğe sahiptir ve meşru işe alım süreçlerini simüle eder.
Mağdurlardan formları doldurmaları, kripto para ile ilgili soruları cevaplamaları ve kameralarını röportajlar için etkinleştirmeleri istenir.
Sürecin kritik bir noktasında, bir hata mesajı onları enfeksiyon zincirini ilan eden sürücüleri veya komut dosyalarını indirmelerini ister.
Enfeksiyon zinciri işletim sistemine bağlı olarak değişir:
- Pencere: Visual Basic betiği (VBS), kötü niyetli bileşenleri geçici dizinlere çıkaran Nodejs tabanlı bir yük (nvidia.js) indirir. Kalıcılık kayıt defteri anahtarları aracılığıyla kurulur ve bir toplu dosya Golangghost arka kapısını sessizce başlatır.
- macos: Bir Bash betiği (coremedia.sh) kalıcılık için bir lansman aracısı pist dosyası oluştururken kötü amaçlı dosyaları indirir ve çıkarır. Golangghost’u dağıtmadan önce, FrostyFerret adlı bir stealer, Chrome’un kullanıcı arayüzünü taklit ederek sistem şifrelerini alır.
Golangghost implantı, her iki platformda uzaktan kumanda ve veri hırsızlığı sağlar. Kabuk komutlarını yürütebilir, dosyaları yükleyebilir/indirebilir, tarayıcı verilerini çalabilir (HackbrowserData aracılığıyla) ve sistem kimlik bilgileri gibi hassas bilgileri sunabilir.
Komut ve kontrol (C2) sunucuları ile iletişim RC4 şifrelemesi kullanılarak şifrelenir. Kötü amaçlı yazılım, benzersiz tanımlayıcıları geçici dosyalarda saklayarak bir seferde yalnızca bir örneğin çalışmasını sağlar.
Merkezi finansmanı hedefleme (CEFI)
Sahte görüşme web sitelerinin analizi, Lazarus’un öncelikle Coinbase, Kraken, Bybit ve Robinhood gibi merkezi finans (CEFI) varlıklarını hedeflediğini ortaya koydu.
Merkezi olmayan finansa (DEFI) odaklanan önceki kampanyaların aksine, bu değişim, DPRK tehdit aktörlerinin işlemler için aracılara güvenmeleri nedeniyle CEFI platformlarına artan ilgi ile uyumludur.
Buna ek olarak, bu sahte görüşmelerde reklamı yapılan iş rolleri, iş geliştirmedeki yöneticiler veya varlık yönetimi gibi teknik olmayan profilleri, görüşmeler sırasında kötü niyetli faaliyetleri tespit etme olasılıklarının daha düşük olduğunu hedeflemektedir.
Enfeksiyon zinciri, kısa süreli çerçevelerde komutların sıralı olarak yürütülmesine dayanır.
Tespit fırsatları, Sigma korelasyon kuralları veya Sekoia işletim dili (SOL) sorguları gibi araçlar aracılığıyla olağandışı komut dosyası yürütme modellerinin izlenmesini içerir.
Örneğin:
textevents
| where timestamp >= ago(7d)
| where process.command_line contains~ "temp"
| where process.name in ["curl.exe", "powershell.exe", "wscript.exe"]
| aggregate cmd_line = make_set(process.command_line) by host.name, process.parent.pid
Ayrıca, Şüpheli Girişler için kayıt defteri anahtarlarını analiz etmek cmd.exe uzlaşmış sistemlerin belirlenmesine yardımcı olabilir.
Tıklama plakası görüşmesi kampanyası, Lazarus’un kripto para birimi varlıklarını hedeflemede uyarlanabilirliğinin ve sofistike olmasının altını çiziyor.
Grup, sahte iş tekliflerinden yararlanarak ve ClickFix gibi gelişen taktikleri, küresel olarak merkezi finans platformlarına karşı önemli tehditler oluşturmaya devam ediyor.
Teknik olmayan çalışanlara odaklanması, Kuzey Kore için kapsayıcı finansal kazanç hedefini korurken daha az uyanık hedeflerden yararlanmayı amaçlayan stratejik bir pivot önermektedir.
Are You from SOC/DFIR Team? - Try Free Malware Research with ANY.RUN - Start Now