Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Tahran, Havacılık ve Uzay Sektörünü Sahte İş Teklifleriyle Kötü Amaçlı Yazılım İndirmeye Yöneltiyor
Prajeet Nair (@prajeetspeaks) •
14 Kasım 2024
İranlı devlet korsanları, iş arayanları kötü amaçlı yazılım indirmeye ikna etmek için Kuzey Kore taktiklerinden bir sayfa çıkarıyor; güvenlik araştırmacıları, Tahran’ın havacılık endüstrisine yönelik bir kampanyasını fark ediyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Siber güvenlik firması ClearSky’nin raporuna göre, Eylül 2023’ten bu yana TA455, APT35 ve Charming Kitten olarak takip edilen bir tehdit aktörü, bireyleri SnailResin olarak bilinen kötü amaçlı yazılım yüklemeye ikna etmek için sahte iş teklifleri kullanıyor. Kampanya, LinkedIn’deki sahte işe alım görevlilerine ve aşağıdaki gibi kötü amaçlı alanlara dayanıyor: careers2find.colm.
Tehdit aktörü, güvenilir görünmek için sahte işe alım uzmanı profillerini sürekli olarak değiştirir. LinkedIn profilleri, genellikle sahte şirketlerle bağlantılı olarak profesyonel ve meşru görünecek şekilde özel olarak tasarlanmıştır.
İranlı bilgisayar korsanları, DLL yandan yükleme saldırıları yoluyla kötü amaçlı yazılım dağıtmak için çeşitli kötü amaçlı dosyaların kullanılması da dahil olmak üzere Kuzey Kore tekniklerini o kadar yakından yansıtıyor ki ClearSky, Pyongyang’ın saldırı yöntemlerini ve araçlarını paylaşmış olabileceğini söyledi.
Kuzey Koreli bilgisayar korsanları, birden fazla tehdit istihbarat şirketi tarafından “Rüya İş Operasyonu” olarak takip edilen etkinlikleri içeren sosyal mühendislik yöntemleriyle ün salmış durumda. Bu yöntemlerde bilgisayar korsanları, kurbanları iş tanımı veya beceri değerlendirmesi olarak gizlenmiş bir veri yükünü açmaya ikna etmek amacıyla işe alım görevlisi kılığına giriyor. (Görmek: Kuzey Koreli Hackerlar LinkedIn’de Değer Buldu).
İranlı bilgisayar korsanları, iş teklifi olarak gizlenen kötü amaçlı bağlantılar veya eklentilerle havacılık ve uzay profesyonellerini hedef alıyor.
İran’daki bu kampanyada kullanılan SnailResin kötü amaçlı yazılımının başlangıçta Kimsuky ve Lazarus gibi Kuzey Koreli gruplara ait olduğu işaretlendi ve bu da gerçek kökenleri konusunda kafa karışıklığına katkıda bulundu. TA455, komuta ve kontrol alanlarını gizlemek için Cloudflare’i kullanıyor ve bu da kampanyanın altyapısının izlenmesini zorlaştırıyor. GitHub’daki komut ve kontrol verilerini kodlayan bilgisayar korsanları, meşru web trafiği kisvesi altında ağlara sızabilirler.
Kötü amaçlı yazılım, düşük antivirüs algılama oranıyla, işle ilgili belgeler olarak etiketlenen ZIP dosyalarına yerleştirilmiştir. TA455’in LinkedIn gibi güvene dayalı platformlara güvenmesi, grubun şüpheli e-postaları veya web sitelerini tespit edebilecek geleneksel güvenlik önlemlerini atlatmasına yardımcı oluyor.