Kuzey Kore bağlantılı Lazarus Grubu tarafından düzenlenen yeni bir siber saldırı dalgası tespit edildi ve sahte LinkedIn iş tekliflerinden yararlanarak organizasyonlara sızmak ve sofistike kötü amaçlı yazılım sunmak için teklifler.
Bitdefender da dahil olmak üzere siber güvenlik firmalarının raporları, bu kampanyanın profesyonel bir ağ platformu olarak LinkedIn’e olan güvenlerini kullanarak sektörlerdeki profesyonelleri hedeflediğini ortaya koyuyor.
Operasyon, genellikle merkezi olmayan kripto para birimi borsaları veya finans ve seyahat gibi diğer yüksek talep gören sektörlerle ilgili meşru bir iş teklifi ile başlar.
Saldırganlar, kurbanları cezbetmek için uzaktan çalışma ve esnek saatler gibi çekici faydalar vaat ediyor.
Hedef faiz ifade ettikten sonra, “işe alım” CV veya GitHub depo bağlantısı gibi kişisel bilgiler ister.
Bu ilk etkileşimler, hassas kişisel verileri toplarken güvenilirlik oluşturmak üzere tasarlanmıştır.
İşe alımdan kötü amaçlı yazılım dağıtımına kadar
Saldırgan, bir projenin “minimum uygulanabilir ürünü” (MVP) gibi görünen bir GitHub deposuna erişim sağladığında aldatmaca yükselir.
Mağdurlardan, teknik soruları cevaplama kisvesi altında kodu yürütmeleri istenir.
Ancak, bu kodun içine gömülü, harici sunuculardan kötü amaçlı yükleri dinamik olarak indiren gizlenmiş bir komut dosyasıdır.
Kötü amaçlı yazılım, pencereleri, macOS ve Linux sistemlerini hedefleyebilen platformlar arası bir infostealer’dır.
Kripto para birimi cüzdan kimlik bilgileri, tarayıcı giriş bilgileri ve sistem yapılandırmaları gibi hassas verilerin çıkarılmasına odaklanır.
Enfeksiyon zinciri birden fazla aşama içerir:
- İlk yük: Kripto para cüzdanlarıyla ilgili tarayıcı uzantıları toplayan JavaScript tabanlı bir stealer.
- İkincil senaryolar: Kripto ile ilişkili veriler için pano etkinliğini izleyen, hassas dosyaları ayıklayan ve bunları saldırgan kontrollü sunuculara sunan python modülleri.
- Gelişmiş Modüller: Bunlar arasında anahtarlogerlar, kalıcı erişim için arka kapılar ve hatta sistem kaynaklarından yararlanmak için tasarlanmış kripto madencilik yazılımı bulunur.
Devlet destekli siber casusluk
Bitdefender analizi, bu faaliyetleri Kuzey Kore devlet destekli ileri kalıcı tehdit (APT) olan Lazarus Grubuna güçlü bir şekilde bağlar.
Grup daha önce “DreamJob Operasyonu” gibi kampanyalar altında benzer taktiklere sahip savunma, havacılık ve nükleer sektörler gibi endüstrileri hedeflemişti.
Hedefleri, tescilli teknolojileri ve sınıflandırılmış bilgileri genişletmeyi amaçlayan finansal hırsızlığın ötesinde kurumsal casusluğa kadar uzanır.
Antivirüs yazılımını devre dışı bırakmak, komut ve kontrol (C2) sunucuları ile iletişim için TOR vekillerini kullanarak ve Stealth için çok katmanlı komut dosyası oluşturma gibi gelişmiş teknikler kullanır.
Bu tür tehditlere karşı koruyucu önlemler
Kuruluşlar ve bireyler bu tür sofistike planlara karşı uyanık kalmalıdır.
Anahtar kırmızı bayraklar arasında belirsiz iş tanımları, uygun belgelerden yoksun şüpheli depolar ve işe alım görevlilerinden kötü iletişim bulunmaktadır. Uzmanlar:
- Kurumsal cihazlarda doğrulanmamış kod çalıştırmaktan kaçının; Bunun yerine sanal makineler veya kum havuzları kullanın.
- Resmi şirket web siteleriyle iş teklifleri çapraz kontrol edin ve e-posta alan adlarını doğrulayın.
- Kişisel bilgiler isteyen istenmeyen mesajlar konusunda dikkatli olun.
Bu kampanya, siber suçlular tarafından kullanılan gelişen taktiklerin kesin bir hatırlatıcısı olarak hizmet vermektedir.
LinkedIn gibi platformlar kötü niyetli etkinlikler için sıcak noktalar haline geldikçe, sağlam siber güvenlik önlemleri uygulamak, duyarlı verileri sömürüden korumak her zamankinden daha kritiktir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free