Kötü amaçlı yazılım kampanyası, Ahnlab Güvenlik İstihbarat Merkezi (ASEC) tarafından açıklandı ve tehdit aktörlerinin kötü amaçlı yükleri dağıtmak için sahte işe alım e -postalarından nasıl yararlandığını ortaya koydu.
Saldırganlar, önde gelen bir geliştirici topluluğu olan Dev.to’ya kimliğe büründü ve kurbanları kazançlı iş teklifleri vaatleriyle çekti.
Kötü amaçlı yazılımları doğrudan e -postalara eklemek yerine, görünüşte meşru bir proje içeren bir bitBucket bağlantısı sağladılar.
Proje içinde iki tehlikeli kötü amaçlı yazılım suşu vardı: Beavertail“Tailwind.config.js” ve “Car.dll” adlı bir indirici kötü amaçlı yazılım olarak gizlendi.
Bu saldırı, sosyal mühendislik taktiklerinin artan karmaşıklığını vurgulamaktadır.
Güvenilir platformları taklit ederek ve iş fırsatları sunarak saldırganlar geleneksel güvenlik önlemlerini atlar ve insan güvenini kullanırlar.
Kötü amaçlı yazılım analizi: Beaverail ve Tropidoor
JavaScript tabanlı Beaverail kötü amaçlı yazılım, bilgi stealer ve indirici olarak ikili rolü ile bilinir.
Web tarayıcılarını kimlik bilgilerini, kripto para birimi cüzdan verilerini ve diğer hassas bilgileri ayıklamak için hedefler.
Ayrıca, ikincil yükleri gibi indirir. InvisibleFerretdaha fazla sömürü için bir arka kapı.
Beaverail’in gizleme teknikleri algılamayı zorlaştırırken, platformlar arası uyumluluğu Windows, macOS ve Linux sistemlerini hedeflemesini sağlar.
Bu özel durumda, Beaverail “Car.dll” indiricisi aracılığıyla yürütüldü.
Günlükler, saldırgan kontrolündeki sunuculardan ek dosyalar (“P.Zip” ve “P2.zip”) indirmek için Curl gibi araçların kullanımını ortaya çıkardı.
Bu davranışlar, Beaverail’i Kuzey Kore tehdit aktörlerine bağlayan önceki raporlarla uyumludur.
Tropidoor: Hafıza Yerleşik Bir Arka Kapı
Tropidoor bellekte sofistike bir arka kapı olarak çalışır. Yürütme üzerine, kendini şifresini çözer ve birden çok komut ve kontrol (C&C) sunucularına bağlanır.
Sistem bilgilerini toplar, bir RSA genel anahtarıyla (Base64’te kodlanmış) şifreler ve “Tropi2p” ve “Gumi” gibi parametreler kullanarak C&C sunucusuna iletir.
Kötü amaçlı yazılım, dosya manipülasyonu, işlem feshi, veri sızıntısı ve hatta indirilen yükleri diğer işlemlere enjekte etme gibi çeşitli komutlar yürütebilir.
Tropidoor’un dikkate değer bir özelliği, saldırganların “Schtasks” ve “Ping” gibi temel Windows komutlarını yürütmesine izin veren #34 komutudur.
Rapora göre, bu teknik Lazarus Grubu ile ilişkili LightlessCan kötü amaçlı yazılımlarda görülen davranışları yansıtıyor.
Uzlaşma Göstergeleri (IOCS)
Dosya Hashes (MD5):
- 3aed5502118b9b8c9f8a779d4b09e11
- 84d25292717671610c936bca7f0626f5
- 94EF379E332F3A120AB16154A7EE7A00
- B29DCC9AFDDD56A520F23A61B670134
Kötü amaçlı URL’ler:
- HTTP[:]// 103[.]35[.]190[.]170/proxy[.]PHP
- HTTPS[:]// 45[.]8[.]146[.]93/Proxy/Proxy[.]PHP
IP adresleri:
- 135[.]181[.]242[.]24
- 191[.]96[.]31[.]38
Bu IOC’ler bu kampanyanın küresel erişiminin ve Kuzey Kore siber operasyonlarıyla ilişkisinin altını çiziyor.
Bu saldırı, Kuzey Koreli tehdit aktörlerinin iş işe alım çabaları olarak gizlenen kimlik avı kampanyaları aracılığıyla bireyleri hedefledikleri daha geniş bir eğilimin bir parçasıdır.
LinkedIn veya Dev.To gibi geliştirici toplulukları gibi platformlardan yararlanarak, sadece bireylere değil, aynı zamanda organizasyonlarına da sızmayı amaçlıyorlar.
Finansal nedenler, kripto para birimi cüzdanlarına ve tarayıcı ile saklanan kimlik bilgilerine odaklanmalarında belirgindir.
Bu tür tehditleri azaltmak için:
- İstenmeyen e -postaları açmaktan veya bilinmeyen kaynaklardan gelen bağlantıları tıklamaktan kaçının.
- İşe alım tekliflerinin özgünlüğünü doğrudan kuruluşla doğrulayın.
- Beavertail gibi gelişen tehditleri tespit etmek için antivirüs yazılımını güncel tutun.
- Bilinen kötü niyetli IP’lere şüpheli bağlantılar için ağ trafiğini izleyin.
Saldırganlar yöntemlerini geliştirmeye devam ettikçe, hem bireyler hem de kuruluşlar için uyanıklık kritik olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!