3. Taraf Risk Yönetimi , Kripto Para Dolandırıcılığı , Siber Savaş / Ulus-Devlet Saldırıları
Hedefler Blockchain, Kripto, Çevrimiçi Kumar ve Siber Güvenlik Sektörlerini İçeriyor
Bay Mihir (MihirBagwe) •
21 Temmuz 2023
Kurumsal yazılım şirketi JumpCloud’u hedef alan şüpheli Kuzey Koreli bilgisayar korsanları, büyük olasılıkla siber güvenlik sektöründekiler de dahil olmak üzere büyük teknoloji şirketlerinin çalışanlarının kişisel GitHub hesaplarını hedef alan bir sosyal mühendislik kampanyasının arkasındadır.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
GitHub bu haftanın başlarında, Kuzey Kore devlet destekli bir tehdit grubu Jade Sleet’in Pyongyang’ın hedeflerini desteklediğini ve blockchain, kripto para birimi ve çevrimiçi kumar sektörleriyle bağlantılı kişisel GitHub kullanıcı hesaplarını hedef aldığını “yüksek bir güvenle” söyledi. ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, grubu TraderTraitor olarak izliyor.
GitHub güvenlik uyarısında “Birkaç hedef siber güvenlik sektörüyle de ilişkilendirildi” dedi.
Kripto para borsalarını ve blockchain ile ilgili şirketleri hedeflemek, genellikle Kim Jong Un rejimi altındaki bilgisayar korsanlarına atfedilir. Blockchain analiz şirketi Chainalysis, 2022’de Kuzey Koreli bilgisayar korsanlarının kripto firmalarını hedef aldığını ve nükleer silah programını finanse etmek için en az 1,7 milyar dolar değerinde kripto para çaldığını söyledi (bkz: Kuzey Kore Cryptocurrency Hacking için Afiş Yılı).
Güney Kore’nin devlet istihbarat teşkilatının Çarşamba günü yaptığı açıklamada, kuzey komşusunun geçen yıl milyonlarca değerinde kripto para birimi çaldığını, diktatörlüğün “30 kıtalararası balistik füze ateşlemesine” yetecek kadar para çaldığını söyledi.
Güney Kore Ulusal İstihbarat Teşkilatından üst düzey bir yetkili, “Bilgisayar korsanları tarafından kazanılan para miktarının, Kuzey Kore’nin toplam döviz kazancının yaklaşık %30’unu oluşturduğunu tahmin ediyoruz.” dedi.
Sosyal Mühendislik Taktikleri
GitHub, tehdit aktörünün kurbanları tuzağa düşürmek için GitHub ve diğer sosyal medya platformlarında sahte kişisel hesaplar oluşturduğunu, ancak bazı meşru hesapların ele geçirildiğini gözlemlediğini söyledi. GitHub, “LinkedIn, Slack ve Telegram’da çalışan sahte kişileri belirledik. Oyuncu, bir platformda iletişim başlatabilir ve ardından sohbeti başka bir platforma taşımaya çalışabilir” dedi.
Tehdit aktörü, kurbanın güvenini kazandıktan sonra onları bir GitHub deposu üzerinde işbirliği yapmaya ve içeriği klonlayıp yürütmeye ikna eder. “GitHub deposu, kötü amaçlı yazılım içeren yazılımlar içeriyor. npm Bağımlılıklar,” dedi güvenlik uyarısı. Tehdit aktörü tarafından kullanılan yazılım temaları, medya oynatıcılardan kripto para birimi ticaret araçlarına kadar değişir.
kötü niyetli npm paketler, kurbanın makinesinde ikinci aşama kötü amaçlı yazılımı indiren ve çalıştıran birinci aşama kötü amaçlı yazılım görevi görür. GitHub, “Tehdit aktörü genellikle kötü amaçlı paketlerini yalnızca sahte bir havuz daveti gönderdiklerinde yayınlayarak yeni kötü amaçlı paketin incelemeye maruz kalmasını en aza indirir” dedi.
Yazılım geliştiriciler için yaygın olarak kullanılan barındırma hizmeti sağlayıcısı, npm ve kampanyayla ilişkili GitHub hesapları ve tespit anında alanın hala kullanılabilir olduğu durumlarda kötü amaçlı paketleri indirmek için kullanılan alan barındırıcılarına kötüye kullanım raporları verdi.
JumpCloud Hacker’ları ile bağlantı kurun
Perşembe günü JumpCloud, Kuzey Koreli bir ulus-devlet aktörünün beşten az müşterisini etkileyen yakın tarihli bir ihlale karıştığını doğruladı (bkz.: JumpCloud, İhlalden Kuzey Koreli Bilgisayar Korsanlarını Suçladı).
JumpCloud tarafından yakın zamanda paylaşılan uzlaşma göstergelerini inceleyen SentinelOne Kıdemli Tehdit Araştırmacısı Tom Hegel, tweet attı JumpCloud tarafından paylaşılan IP adreslerinden biri – 144.217.92[.]197 – npmaudit tarafından kullanılıyor[.]GitHub saldırganlarının altyapısını birbirine bağlayan com alan adı.
Hegel, “Bunun zamanlamasına dayanarak, bunun JumpCloud izinsiz girişiyle ilgili olduğunu varsayacağım, ancak bu sadece benim dışarıdan bakış açım,” dedi.
Github, birinci aşama kötü amaçlı yazılımın mekaniğinin Phylum Security’nin bir blogunda ayrıntılı olarak açıklandığını belirtti. GitHub, “Phylum’un GitHub’dan tamamen bağımsız yürütülen çalışması, kendi araştırmamızı yansıtıyor” dedi.
Hegel, Phylum tarafından detaylandırılan devam eden NPM kampanyasının, JumpCloud ve GitHub bulgularıyla örtüşen bir altyapı içerdiğini ve bunun Kuzey Koreli Lazarus grubunun işi olduğundan son derece emin olduğunu belirtmekte gecikmedi.