LinkedIn aracılığıyla hedeflere ulaşanlar yalnızca Kuzey Koreli bilgisayar korsanları değil: İranlı tehdit aktörü TA455, en azından Eylül 2023’ten bu yana, popüler istihdam odaklı sosyal medya platformunda işe alım görevlilerinin kimliğine bürünerek havacılık ve uzay endüstrisindeki işçilerin güvenliğini tehlikeye atmaya çalışıyor.
“TA455, doğası gereği güven ve profesyonel bağlantılara dayanan bir platform olan LinkedIn’den yararlanarak güvenilirlik kazanmayı ve şüphe uyandırmayı önlemeyi amaçlıyor. ClearSky Siber Güvenlik araştırmacıları, uydurma şirketlerle ilişkili sahte işe alım profili kullanmalarının aldatmacayı daha da güçlendirdiğini ve kurbanların kötü niyetli bağlantı ve eklentileriyle etkileşime geçme olasılığını artırdığını belirtti.
“Güvenilir bir platformun bu şekilde istismar edilmesi, şüpheli e-postaları veya web sitelerini işaretleyebilecek geleneksel güvenlik önlemlerini atlamalarına olanak tanıyor.”
“İran’ın Rüya İşi” kampanyası
Bu son kampanya, saldırganların LinkedIn aracılığıyla hedef çalışanlarla iletişime geçmesi ve ardından onları sahte bir işe alım web sitesinden dosya indirmeye yönlendirmesiyle başlıyor.
SignedConnection.zip dosyası (SignedConnection uygulaması gibi görünüyor) kötü amaçlı yazılım içeriyor ve ilişkili bir PDF talimat dosyası, hedefe bununla ne yapması gerektiği konusunda talimatlar veriyor (bulaşmayı garantilemek için).
Talimatları içeren PDF (Kaynak: ClearSky)
ZIP dosyası birkaç meşru dosya içerir ve SignedConnection.exe. İkincisi yürütüldüğünde, kötü amaçlı bir dosya DLL dosyası yan tarafa yüklenir ve bir C2 sunucusuyla bağlantı kurulur.
Nihai amaç, tehdit aktörlerinin güvenliği ihlal edilmiş bir cihaza istedikleri zaman erişmelerine olanak tanıyan SlugResin arka kapısını dağıtmak ve etkinleştirmektir.
Kampanya ilişkilendirmesi
Saldırganların (var olmayan) bir “rüya iş” sunarak hedefleri kandırmaya çalışması nedeniyle bu şekilde adlandırılan “Hayalinizdeki İş” kampanyaları yeni bir olay değil.
Kuzey Kore devlet destekli bilgisayar korsanları birkaç yıldır iş arayanları avlıyor ve İranlı tehdit aktörleri de aynısını yapıyor.
Kullanılan saldırı altyapısı nedeniyle, bu son saldırı aynı zamanda hükümet ve askeri sektörleri hedeflere odaklandığı bilinen İranlı bir APT grubu olan Charming Kitten’ın (diğer adıyla Smoke Sandstorm) bir alt grubu olan tehdit aktörü TA455’e de atfedildi.
“TA455, başta Kuzey Koreli Lazarus grubu olmak üzere diğer tehdit aktörlerinin taktiklerini ve araçlarını taklit ederek araştırmacıları kasıtlı olarak yanıltmaya çalışıyor. Buna benzer ‘Dream Job’ yemlerinin, saldırı tekniklerinin ve hatta Lazarus’un DLL yandan yükleme saldırılarında kullandığı dosyalarla örtüşen kötü amaçlı yazılım dosyalarının kullanılması da dahildir. Araştırmacılar, bu kasıtlı yanlış atıfın kafa karışıklığı yaratmayı ve doğru atıf çabalarını engellemeyi amaçladığını belirtti.
Yetkililer, Kuzey Kore’nin aynı amacı göz önünde bulundurarak kasıtlı olarak İran’la saldırı yöntem ve araçlarını paylaşmış olmasının da mümkün olduğunu eklediler.