Kuzey Koreli bağlantılı ünlü Chollima Apt Group, aldatıcı işe alım süreçleri yoluyla iş arayanlara ve kuruluşlara karşı hedeflenen kampanyaları düzenleyen sofistike bir tehdit oyuncusu olarak ortaya çıktı.
Aralık 2022’den bu yana aktif olan bu gelişmiş kalıcı tehdit, profesyonel ağ ve iş arama faaliyetlerine özgü güveni kullanan karmaşık bir çok aşamalı saldırı metodolojisi geliştirmiştir.
Grubun operasyonları, sosyal mühendislik taktiklerinde önemli bir evrimi temsil eder ve hedef kuruluşlar içinde dayanaklar kurmak için istihdam fırsatları arayan bireylerin kırılganlığından yararlanır.
Saldırı kampanyası, meşru işe alım görevlileri olarak poz veren veya potansiyel kurbanları çevrimiçi röportajlara katılmaya davet eden yöneticileri işe alarak yaklaşımında dikkate değer bir karmaşıklık gösteriyor.
Video konferans platformları aracılığıyla yapılan bu otantik etkileşimler sırasında, tehdit aktörleri hedefleri GitHub depolarında barındırılan kötü amaçlı NPM paketlerini indirmeye ve yüklemeye ustaca değiştiriyor.
Saldırganlar bu paketleri teknik değerlendirme veya kod incelemesi gerektiren meşru yazılım olarak sunarak yazılım geliştirme görüşmelerinin standart uygulamalarını etkili bir şekilde silahlandırır.
Saldırgan güvenlik mühendisi Abdulehman Ali, kötü amaçlı yazılımların karmaşık enfeksiyon zincirini belirledi ve grubun yazılım geliştiricilerini ve hem teknik uzmanlığa hem de hassas organizasyonel kaynaklara potansiyel erişime sahip BT uzmanlarını stratejik olarak hedeflediğini belirtti.
Kampanyanın etkinliği, iki temel demografik güvenlik açıkından yararlanmasından kaynaklanmaktadır: yakın zamanda eski işverenlere erişim kimlik bilgilerini koruyabilen işten çıkarılan çalışanlar ve birincil istihdamlarının yanında serbest fırsatlar arayan aktif profesyoneller.
Teslimat mekanizması, GitHub’ın güvenilir altyapısının sofistike bir kötüye kullanımını temsil eder ve platformu kötü niyetli yükler için farkında olmayan bir dağıtım ağına dönüştürür.
Saldırganlar, InvisibleFerret arka kapısını dağıtmak için tasarlanmış gizlenmiş JavaScript koduyla gömülü NPM paketleri içeren depolar oluşturur.
.webp)
Bu Python tabanlı kötü amaçlı yazılım, XOR şifrelemesi ile sabitlenmiş ve uzaktan erişim ve kimlik bilgisi hasat özelliklerini sağlayan TCP bağlantıları yoluyla kalıcı komut ve kontrol iletişimi oluşturur.
Enfeksiyon mekanizması
Kötü amaçlı yazılım enfeksiyon süreci, dikkatle düzenlenmiş bir dağıtım dizisini tetikleyen kötü amaçlı NPM paketinin yürütülmesi ile başlar.
.webp)
Kurulum üzerine, JavaScript yükü sistem keşif komutlarını yürütür ve ortamı ikincil Python arka kapı kurulumu için hazırlar.
InvisibleFerret bileşeni, çoğu yazılım geliştiricisinin zaten gerekli bağımlılıklara sahip olduğu göz önüne alındığında, hedefin mevcut Python ortamından yararlanır.
Arka kapı, şifreli TCP kanalları aracılığıyla komut ve kontrol sunucuları ile iletişim kurar ve veri iletimini gizlemek için sabit kodlu anahtarlarla XOR şifrelemesini kullanır.
%20server%20(Source%20-%20Medium).webp)
Kötü amaçlı yazılımların platformlar arası uyumluluğu, Windows, Linux ve MacOS ortamlarında işlemleri sağlar ve çeşitli geliştirme ekosistemlerinde saldırı yüzeyini en üst düzeye çıkarır.
Bir kez kurulduktan sonra, arka kapı tarayıcı kimlik bilgisi hasadı ve uzaktan komut yürütme özellikleri de dahil olmak üzere kapsamlı veri açılmasını kolaylaştırır.
Kampanyanın başarısı, tedarik zinciri güvenliği ve sosyal mühendislik savunmalarındaki kritik güvenlik açıklarını vurgulamaktadır, özellikle de görüşmeler sırasında GitHub etkileşimlerinin ve teknik değerlendirmelerin standart uygulama olduğu kalkınma topluluklarında.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin