Gelişmiş ve koordineli bir yaklaşım kullanan Kuzey Kore siber saldırılarının yeni dalgası teknoloji, finans ve kripto para sektörlerini hedef aldı.
Siber güvenlik araştırmacıları ANY.RUN raporları Aşamalı sahte iş görüşmelerinden yararlanan “InvisibleFerret” ve “BeaverTail” gibi gelişmiş kötü amaçlı yazılımların, kurbanların sistemlerini tehlikeye atmak ve hassas verileri sızdırmak için kullanıldığı belirtiliyor.
“Bulaşıcı Röportaj” veya “DevPopper” olarak adlandırılan bu kampanya, kodlama zorluklarına, görüntülü arama yazılımına veya bağımlılıklara kötü amaçlı yükler yerleştirerek şüphelenmeyen yazılım geliştiricilerini yönlendiriyor.
Kötü amaçlı yazılım kampanyası, Kuzey Kore bağlantılı tehdit aktörlerinin yüksek değerli hedeflere sızmaya yönelik organize çabalarının bir parçası.
“Bu kötü amaçlı bileşenler, şüpheli korsan yazılımların dosyaları arasında rastgele görünüp kurbanlarını pusuya düşürmüyor. Bunun yerine, onlar bir organize edilmiş Geliştiricilerin öncelikli odak noktası olduğu teknolojik, finansal ve kripto para sektörlerini hedef alan bir çaba.”
Saldırının ilk aşaması genellikle NPM modülü olarak dağıtılan, JavaScript tabanlı bir hırsız ve yükleyici olan BeaverTail’i içerir. BeaverTail, gelişmiş casusluk yapabilen Python tabanlı bir kötü amaçlı yazılım olan InvisibleFerret’i çalıştırmak için özelleştirilmiş bir Python ortamını (“p.zip” olarak anılır) indirir.
ANY.RUN’un Etkileşimli Sandbox’ı ile Güvenli Kötü Amaçlı Yazılım ve Kimlik Avı Analizini Deneyin – 14 Gün Ücretsiz Deneme
InvisibleFerret’in Yetenekleri
Birincil kötü amaçlı yazılım olan InvisibleFerret, karmaşık koduna rağmen karmaşık bir tasarım sergiliyor. Temel özellikler şunları içerir:
Veri Toplama: Tarayıcı verilerini, pano içeriklerini ve Belgeler ve İndirilenler gibi sistem dizinlerini hedefleyerek aktif olarak kaynak kodunu, kripto para birimi cüzdanlarını, kullanıcı kimlik bilgilerini ve hassas dosyaları arar.
Verileri dışarı çıkarmak için FTP ve şifreli bağlantıları kullanır. Belirli uzantılarla eşleşmeyen dosyalar, sabit kodlanmış bir anahtarla XOR şifrelemesi kullanılarak karartılır.
Kötü amaçlı yazılım, kullanıcı profillerini, çerezleri, şifreleri, tarama geçmişini ve kripto cüzdanları (örn. MetaMask) ve şifre yöneticileri (örn. 1Password) gibi tarayıcı uzantılarından verileri çıkarmak için rutinler uygular.
Virüslü sistemlerde kalıcılığı sürdürmek için AnyDesk gibi yasal uzak masaüstü yazılımlarını indirir ve çalıştırır.
InvisibleFerret, çalınan dosyaları saldırgana göndermek için Bots API’sini çağırarak Telegram’ı ek bir sızma kanalı olarak kullanıyor.
Araştırmacılar InvisibleFerret’in enfeksiyon zincirini analiz ediyor ANY.RUN etkileşimli Kötü Amaçlı Yazılım analiz platformu çok aşamalı saldırı stratejisini ortaya çıkardı.
Süreç, mağdurların kodlama görevleri veya görüntülü aramalar içeren sahte iş görüşmeleri yoluyla kandırıldığı ilk temasla başlıyor. BeaverTail ve InvisibleFerret gibi kötü amaçlı bileşenler daha sonra kurbanın sistemine iletilir.
InvisibleFerret konuşlandırıldıktan sonra ip-api.com gibi meşru API’leri kullanarak coğrafi konum verilerini, işletim sistemi ayrıntılarını, ana bilgisayar adlarını ve kullanıcı adlarını toplayarak sistem profili oluşturma işlemini gerçekleştirir.
Son olarak kötü amaçlı yazılım, toplanan verileri sızdırmak için 1244 ve 1245 gibi alışılmadık bağlantı noktalarında çalışan Komuta ve Kontrol (C2) sunucularıyla bağlantılar kurar.
ANY.RUN’un Etkileşimli Sandbox’ı ile Güvenli Kötü Amaçlı Yazılım ve Kimlik Avı Analizini Deneyin – 14 Gün Ücretsiz Deneme
ANY.RUN Hakkında
Etkileşimli bir kötü amaçlı yazılım analiz platformu olan ANY.RUN, kampanyanın incelenmesinde kritik bir rol oynadı.
Platformun gerçek zamanlı kötü amaçlı yazılım davranış takibi ve MITRE ATT&CK çerçevesiyle entegrasyonu, araştırmacıların saldırganların Taktiklerini, Tekniklerini ve Prosedürlerini (TTP’ler) haritalandırmasına olanak sağladı.
ANY.RUN Temel Özellikleri şunları içerir:
- Etkileşimli iş akışlarıyla saniyeler içinde kötü amaçlı yazılım tespiti.
- Hem Windows hem de Linux sistemleri için kötü amaçlı yazılım davranışlarına ilişkin kapsamlı bilgiler.
- Ekip işbirliği ve tehdit analizi için ölçeklenebilir çözümler.
InvisibleFerret kötü amaçlı yazılım kampanyası, düşmanların kullandığı gelişen taktikleri hatırlatıyor.
Siber güvenlik uzmanları, hassas bilgilerin yanlış ellere geçmesini önlemek için dikkatli olmanın ve proaktif önlemlerin önemini vurguluyor.
En profesyonel görünen senaryolar bile kötü niyetli aktörler tarafından tasarlanmış tuzaklar olabileceğinden, şüpheli işe alım faaliyetlerine ve yazılım indirmelerine karşı her zaman dikkatli olun.
Bu kampanya, yüksek değerli fikri mülkiyet veya finansal varlıklara sahip endüstrileri hedef alan siber casuslukta endişe verici bir eğilimin altını çiziyor. Sosyal mühendislik ve özel kötü amaçlı yazılımların birleşimi, tehdit aktörlerinin hedeflerine ulaşmak için ne kadar ileri gidebileceğini gösteriyor.
- Her zaman iş tekliflerinin ve görüşme süreçlerinin gerçekliğini doğrulayın.
- Özellikle kurumsal cihazlarda doğrulanmamış yazılımları çalıştırmaktan kaçının.
- Riskleri azaltmak için güçlü uç nokta koruması, korumalı alan çözümleri ve çok faktörlü kimlik doğrulama kullanın.
- Çalışanlarınızı kimlik avı ve sosyal mühendislik taktiklerini tanıma konusunda eğitin.
Uzlaşma Göstergeleri (IOC’ler)
Araştırmacılar bu kampanyaya bağlı aşağıdaki IOC’leri belirlediler:
- SHA256 Karmaları:
- 47830f7007b4317dc8ce1b16f3ae79f9f7e964db456c34e00473fba94bb713eb
- 6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0
- IP Adresleri:
- 147[.]124[.]214[.]129
- 173[.]211[.]106[.]101
- URL’ler:
- http://147[.]124[.]214[.]129:1244
- http://173[.]211[.]106[.]101:1245
ANY.RUN Interactive Sandbox’ın tüm özelliklerini test etmek için 14 günlük Ücretsiz Deneme Sürümünü Alın → Şimdi deneyin