Araştırmacılar, bir macOS kötü amaçlı yazılım ailesinin, devlet destekli Kuzey Kore tehdit aktörlerinin sahte iş görüşmelerini içeren tehdit kampanyalarında kullandıkları yeni varyantları keşfettiler.
Sentinelone, Pazartesi blog yazısında, Apple’ın güvenlik yazılımı tarafından şu anda tespit edilmeyen yeni bir macOS kötü amaçlı yazılım türü olan “esneklik” ortaya çıktı. Sentinellabs araştırmacıları, esnekliğin, Kuzey Koreli tehdit aktörlerinin hedeflenen bireyleri kötü amaçlı yazılımları indirmek için kandırmak için iş görüşmelerini kullandıkları “bulaşıcı röportaj” olarak adlandırılan aktif bir tehdit kampanyasının bir parçası olduğunu söyledi.
“Hedeflerden genellikle bir görüşmeci ile bir hata mesajı ve gerekli bazı yazılım parçalarını yükleme veya güncelleme isteği atan bir bağlantı aracılığıyla iletişim kurması istenir. VCAM veya Kamera Sanal toplantılar için, “Sentinellabs araştırmacıları blog yazısında yazdı.
Ferrett Malware, SentinelOne’a göre ilk olarak Aralık ayında siber güvenlik satıcıları tarafından belgelendi. Apple, MacOS kötü amaçlı yazılım ailesinin çeşitli varyantlarını bir imza güncellemesinde ele aldı. Xprotect geçen hafta. Ancak, Kuzey Koreli tehdit aktörleri, esnek bir şekilde tespit edilmeyen esneklik vererek güncellemeye uyarlandı. Xprotect.
Ayrıca, Sentinellabs araştırmacıları, MacOS kötü amaçlı yazılım ailesinin diğer varyantlarından farklı olarak, EsnekFerreter geçerli bir Apple geliştirici imzası ve takım kimliği ile imzalandı ve meşru yazılım gibi görünmesini sağlayan başka öğeler içeriyor. Sentinellabs’a göre hem imza hem de takım kimliği iptal edildi.
Kasım 2023’ten beri devam eden bulaşıcı görüşme kampanyası, hem işverenleri hem de yazılım geliştiricilerini iş arama platformları ve forumlarındaki ilanları hedefliyor. Saldırıların arkasındaki devlet destekli tehdit aktörleri genellikle potansiyel işverenler olarak poz veriyor ve sahte iş görüşmeleri olan geliştiricilere çekilmeye çalışıyor. Bir kurban, görüşmeci tarafından sunulan kötü niyetli bir bağlantıyı tıkladığında, FlexibleFerret, tehdit aktörlerine kurbanın şu anki işverene erişmesini sağlayabilecek bir arka kapı ile kurbanın ev sahibini enfekte eder.
Github Hedefleri
Sentinellabs araştırmacıları, meşru depolarda sahte sorunlar açarak GitHub kullanıcılarını hedefleyen bu kampanyanın en son yinelemesini gözlemlediler.
“Farklı taktikler, tehdit aktörlerinin, hem hedeflenen çabalarda hem de daha dağınık silah yaklaşımları ve kod paylaşım siteleri aracılığıyla geliştirici topluluğunda çeşitli hedeflere kötü amaçlı yazılım sunmalarına yardımcı olur. Zımpara“yazdılar.
Sentinellabs kıdemli araştırmacısı ve blog yazısının ortak yazarı Phil Stokes, XProtect’in henüz FlexibleFerret’i tespit etmese de, Apple’ın yeni kötü amaçlı yazılımları ele almak için adımlar attığını söyledi.
Stokes, “Şu anda, XPROTECT, esneklik için bir kural içermiyor. Esnaf ve Apple’ın gelincik kurallarıyla tanımlanan diğer kötü amaçlı yazılımlar arasındaki önemli farklılıklardan biri, FlexibleFerret’in bir Apple geliştirici kimliğiyle imzalanmasıdır.” Dedi. Diyerek şöyle devam etti: “Bu sertifika, Apple’ın bu geliştiricinin farkında olduğunu gösteren baskıya gittiğimiz zaman Apple tarafından iptal edilmişti.”
Stokes, Sentinellabs’ın bir MacOS kötü amaçlı yazılımdaki artış Geçen yıl.
Bulaşıcı görüşme etkinliği, iş odaklı kampanyalar aracılığıyla işletmelere ve geliştiricilere saldıran Kuzey Kore devlet destekli tehdit aktörlerinin en son örneğidir. 2022’de FBI, tehdit aktörlerinin Deepfake teknolojisini kullanarak Kuzey Koreli olmayan vatandaşlar olarak poz verdikleri ve Batı şirketlerinde BT personeli ve yazılım geliştiricileri olarak istihdam kazanmaya çalıştıkları konusunda uyardı.
İşe alınırsa, Kuzey Kore tehdit aktörleri hassas verileri ve fikri mülkiyeti çalmak için erişimi kullanacaklardı. ABD yetkilileri ve siber güvenlik satıcıları, işletme ve devlet işverenlerini, potansiyel çalışanlarla görüşürken dikkatli olmaya ve kimlikleri doğrulamak için ekstra önlemler almaya çağırdı.