Kuzey Kore devlet destekli Lazarus gelişmiş kalıcı tehdit (APT) grubu, başka bir kimliğe bürünme dolandırıcılığıyla geri döndü ve bu kez meşru GitHub veya sosyal medya hesaplarına sahip geliştiriciler veya işe alım görevlileri kılığına girdi.
Kötü şöhretli APT, bu kişileri sınırlı bir teknoloji çalışanı grubunu hedef alan sosyal mühendislik saldırılarında kullanıyor ve onları GitHub geliştirme projelerine katılmaya davet ediyor ve ardından kötü amaçlı düğüm paketi yöneticisi (npm) bağımlılıkları yoluyla kötü amaçlı yazılım yayıyor, GitHub uyarıyor.
Araştırmacılar şimdiye kadar LinkedIn, Slack ve Telegram’ın yanı sıra kendi platformundaki “düşük hacimli sosyal mühendislik kampanyası” ile bağlantılı güvenliği ihlal edilmiş hesaplar ve / veya sahte kişiler belirlediler, yakın tarihli bir blog gönderisinde bildirdiler. Kampanyada hiçbir GitHub veya npm sisteminden ödün verilmediğini eklediler.
Lazarus, faaliyetleri 2009 yılına kadar uzanan Kuzey Kore Dış İstihbarat ve Keşif Bürosu tarafından yönetildiği düşünülen üretken ve iyi izlenen bir APT’dir. Grup, sürekli olarak hem Kim Jong Un rejimini finanse etmek için mali amaçlı saldırılar hem de siber casusluğu destekleme faaliyetleri düzenledi. Siber casusluk veya finansal dolandırıcılık amacıyla çeşitli sektörlerde çalışan insanlara iş veya iş fırsatları salması kötü bir üne sahiptir. Araştırmacılar, bu kez, hedeflenen geliştirici hesaplarının blockchain, kripto para veya çevrimiçi kumar sektörlerinin yanı sıra siber güvenlik sektörüyle bağlantılı olduğunu söyledi.
Kampanyanın nihai hedefi, kurbanların iki aşamalı bir kötü amaçlı yazılım saldırısı yayan bir GitHub deposunun içeriğini klonlayıp yürütmesini sağlamaktır.
GitHub’dan Alexis Wales gönderide, GitHub’ın Lazarus adına atıfta bulunarak, “Bazı durumlarda bunlar sahte kişilerdir; diğer durumlarda, Jade Sleet tarafından devralınan meşru hesapları kullanırlar.” “Oyuncu bir platformda iletişim başlatabilir ve ardından konuşmayı başka bir platforma taşımaya çalışabilir.”
Yazılım Tedarik Zincirini Zehirlemek
Lazarus’un yıllar içinde dağıttığı kötü amaçlı yazılımlar, RAT’lerden fidye yazılımlarına kadar her şeyi içerir ve grubun hayatta kalmaya devam etmek için gerektiğinde taktik değiştirip değiştirdiği bilinmektedir. Lazarus ayrıca mevcut güvenlik açıklarını ve tehdit eğilimlerini takip eder ve kötü amaçlı hedeflerine ulaşmak için gerekirse bunlardan yararlanır.
Bu, en son kampanyada npm paketlerinin kullanılmasını açıklayabilir, çünkü birkaç nedenden dolayı son zamanlarda tehdit aktörleri için popüler bir hedef haline geldiler – en önemlisi, kod bağımlılıklarını birden çok uygulamaya yayarak yazılım tedarik zincirini zehirlemenin bir yolu.
GitHub kampanyası, Lazarus’un bir hedefle iletişim kurması ve onları bir GitHub deposu üzerinde işbirliği yapmaya davet etmesiyle başlar. Araştırmacılar, ilgili kişinin meşru bir hesaptan geliyor gibi göründüğü için, aktör tarafından hedeflerin, kötü niyetli npm bağımlılıkları olan yazılımları içeren deponun içeriğini klonlamaya ve yürütmeye ikna edilebileceğini buldu.
Tehdit aktörü tarafından kullanılan yazılım temaları, medya oynatıcıları ve kripto para birimi ticaret araçlarını içerir. Kötü amaçlı paketler, kurbanın makinesinde ikinci aşama kötü amaçlı yazılımı indiren ve çalıştıran birinci aşama kötü amaçlı yazılım olarak hareket eder.
GitHub, kötü amaçlı yazılım hakkında ayrıntılara girmedi, bunun yerine saldırıda kullanılan birinci aşama kötü amaçlı yazılımın mekaniğini açıklayan Phylum tarafından yazılan bir blog gönderisine atıfta bulundu.
Phylum araştırmacıları, saldırının yürütülmesi için belirli bir sırayla kurulması gereken bir çift pakete yayılmış bir saldırı zincirini tanımlıyor; ilk paket uzak bir sunucudan bir belirteç getiriyor ve ikinci paket, belirteci sunucudan kötü amaçlı bir komut dosyası almak için kullanıyor.
Gönderiye göre, “Bu iş akışı göz önüne alındığında, başarılı çalışmayı sağlamak için bir çiftteki her paketin sırayla, doğru sırada ve aynı makinede yürütülmesi çok önemlidir.”
Kötü amaçlı yazılım, gönderi tarafından “uygulamayı ortadaki adam saldırılarına karşı savunmasız bırakan zayıf bir güvenlik uygulaması” olarak tanımlanan TLS sertifika doğrulamasını esasen geçersiz kılan bir eylem yürütür.
Phylum’a göre “Yalnızca tahminde bulunabilsek de, bu eylemin makul bir nedeni, kendi kök sertifikalarını yükleyen kurumsal ayarlarda HTTP isteklerini kolaylaştırmak olabilir.”
Siber Saldırıları Azaltma ve Koruma
GitHub, kampanyayla ilişkili hem npm hem de GitHub hesaplarını askıya aldı ve gönderisinde uzlaşma göstergeleri yayınladı. Site ayrıca, tespit anında alan adının hala kullanılabilir olduğu durumlarda alan barındırıcılarına kötüye kullanım raporları sunmuştur.
Kampanya tarafından hedeflenen herkes, GitHub’ın IoC’lerinde tanımladığı hesaplardan birinden bir depoya daveti kabul edip etmediklerini belirlemek için action:repo.add_member güvenlik günlüklerini inceleyerek bunu hafifletmek için adımlar atabilir. Birisi gerçekten hedef alınmışsa, derhal işverenlerinin siber güvenlik departmanıyla iletişime geçmelidir.
Ayrıca, bir geliştirici bu kampanyanın bir sonucu olarak herhangi bir içeriği yürüttüyse, “potansiyel olarak etkilenen cihazları sıfırlamak veya silmek, hesap şifrelerini değiştirmek ve potansiyel olarak etkilenen cihazda depolanan hassas kimlik bilgilerini/belirteçleri döndürmek ihtiyatlı olabilir” diyor Wales.
Genel olarak, geliştiriciler, özellikle kampanyanın hedefi olarak tanımlanan endüstri sektörlerinden biriyle ilişkiliyse, npm paketleri veya bunlara bağlı yazılımlar üzerinde işbirliği yapmak veya bunları yüklemek için sosyal medya taleplerine karşı dikkatli olmalıdır.
GitHub’a göre geliştiriciler ayrıca, son zamanlarda yayınlanan, net-yeni paketlere veya komut dosyalarına veya kurulum sırasında ağ bağlantıları yapan bağımlılıklara yakından dikkat ederek bağımlılıkları ve kurulum komut dosyalarını inceleyebilir.