Bulaşıcı röportajın arkasındaki Kuzey Kore bağlantılı tehdit aktörleri, ön şirketleri sahte işe alım sürecinde kötü amaçlı yazılım dağıtmanın bir yolu olarak kurdu.
“Bu yeni kampanyada, Tehdit Oyuncu Grubu, kripto para birimi danışmanlığı endüstrisinde üç ön şirket kullanıyor – Blocknovas LLC (Blocknovas[.] com), Angeloper Ajansı (Angeloper[.]com) ve SoftGlide LLC (SoftGlide[.]CO)-Kötü amaçlı yazılımları ‘iş görüşmesi cazibesi’ yoluyla yaymak için, Silent Push derin dalış analizinde.
Siber güvenlik şirketi, aktivitenin, bilinen üç farklı kötü amaçlı yazılım ailesi olan Beaverail, InvisibleFerret ve Ottercookie’yi dağıtmak için kullanıldığını söyledi.
Bulaşıcı röportaj, Kuzey Kore tarafından düzenlenen ve bir video değerlendirmesi sırasında kamerayı açarken tarayıcılarıyla bir sorunu düzeltmek için hedefleri platformlar arası kötü amaçlı yazılımları indirmeye ikna etmek için iş temalı sosyal mühendislik kampanyalarından biridir.
Etkinlik, Cl-Sta-0240, Çözünen Geliştirme, Dev#Popper, ünlü Chollima, UNC5342 ve Void Dokebi olarak adlandırılan daha geniş siber güvenlik topluluğu tarafından izlenir.
Facebook, LinkedIn, Pinterest, Medium, GitHub ve Gitlab’da hileli hesaplar kurarak tamamlanan kötü amaçlı yazılım yayılımı için ön şirketlerin kullanımı, kurbanları cezbetmek için çeşitli iş kurulları kullanılarak gözlemlenen tehdit aktörleri için yeni bir yükseliş işaret ediyor.
“Blocknovas Front Company’nin onlar için çalıştığı iddia edilen 14 kişi var, ancak çalışanların birçoğu […] Sahte gibi görünüyor, “Silent Push.”[.]com Wayback makinesi aracılığıyla, grup ’12+ yıl ‘için faaliyet gösterdiğini iddia etti – bu da işletmenin kayıtlı olduğundan 11 yıl daha uzun. “
Saldırılar, daha sonra Windows, Linux ve macOS ana bilgisayarlarında kalıcılık oluşturabilen FulisibleFerret olarak adlandırılan bir Python Backdoor’u bırakmak için kullanılan Beaverail adlı bir JavaScript Stealer ve Loader’ın konuşlandırılmasına yol açar. Beaverail’i başlatmak için kullanılan aynı JavaScript yükü aracılığıyla Ottercookie adlı başka bir kötü amaçlı yazılım sunduğu seçilmiş enfeksiyon zincirleri de bulunmuştur.
Blocknovas, FrostFix ile ilgili lures kullanarak Frostyferret ve Golangghost’u dağıtmak için video değerlendirmeleri kullanılarak gözlemlenmiştir, bu ayın başlarında Sekoia tarafından, Click paketi röportajı altında etkinliği izleyen bir taktik.
Beaverail harici bir sunucuya başvuracak şekilde yapılandırılmıştır (“Lianxinxiao[.]com “) InvisibleFerret’i takip yükü olarak sunmak için komut ve kontrol (C2) için, sistem bilgilerini hasat etmek, bir ters kabuk başlatmak, tarayıcı verilerini çalmak için ek modüller indirmek ve AnyDesk uzaktan erişim yazılımının kurulumunu başlatmak için ek modüller indirmek için geliyor.
Kötü niyetli altyapının daha fazla analizi, alanlarından dördüne görünürlüğü korumak için blocknovas’ın alt alanlarından birinde barındırılan bir “durum gösterge paneli” nin varlığını ortaya çıkardı: lianxinxiao[.]com, Angeloperonline[.]Çevrimiçi ve SoftGlide[.]CO.
Ayrı bir alt alan, mail.blocknovas[.]com alanı, ayrıca Hashtopolis adlı açık kaynaklı, dağıtılmış bir şifre çatlama yönetim sistemine ev sahipliği yaptığı bulunmuştur. Sahte işe alım itici güçleri, en az bir geliştiricinin Eylül 2024’te tehlikeye atıldığı iddia edilen Metamask cüzdanını almasına yol açtı.
Hepsi bu değil. Tehdit aktörleri ayrıca ATTISSCMO alan adında Kryptoneer adlı bir araca ev sahipliği yapıyor gibi görünüyor[.]com Suiet cüzdanı, ethos cüzdanı ve sui cüzdanı gibi kripto para cüzdanlarına bağlanma yeteneği sunan com.
Silent Push, “Kuzey Kore tehdit aktörlerinin SUI blok zincirini hedeflemek için ek çaba sarf etmiş olması veya bu alanda iş başvurusu süreçlerinde çalışılan ‘kripto projesi’ örneği olarak kullanılması mümkündür.” Dedi.
Trend Micro tarafından yayınlanan bağımsız bir rapora göre Blocknovas, Aralık 2024’te LinkedIn’de kıdemli bir yazılım mühendisi için, özellikle Ukraynalı BT profesyonellerini hedefleyen açık bir pozisyon reklamını yaptı.
23 Nisan 2025 itibariyle Blocknovas alanı, ABD Federal Soruşturma Bürosu (FBI) tarafından Kuzey Kore siber aktörlerine karşı “sahte iş ilanları olan bireyleri aldatmak ve kötü amaçlı yazılım dağıtmak” için bir kolluk eyleminin bir parçası olarak ele geçirildi.
Astrill VPN ve konut vekilleri gibi hizmetleri altyapılarını ve faaliyetlerini gizlemek için kullanmanın yanı sıra, kötü niyetli etkinliğin dikkate değer bir yönü, profil resimleri oluşturmak için Remaker gibi yapay zeka (AI) destekli araçların kullanılmasıdır.
Siber güvenlik şirketi, bulaşıcı röportaj kampanyasını analizinde, operasyonu gerçekleştirmek için kullanılan beş Rus IP serisini belirlediğini söyledi. Bu IP adresleri bir VPN katmanı, bir proxy katmanı veya bir RDP katmanı ile gizlenir.
Güvenlik araştırmacıları HacqueBord ve Stephen Hilt, “Ticari VPN hizmetleri, proxy sunucuları ve RDP ile çok sayıda VPS sunucusu kullanan büyük bir anonimleştirme ağı tarafından gizlenen Rus IP adresi aralıkları, Khasan ve Khabarovsk’taki iki şirkete atandı.” Dedi.
“Khasan, Kuzey Kore-Rusya sınırından bir mil uzaklıktadır ve Khabarovsk, Kuzey Kore ile ekonomik ve kültürel bağlarıyla bilinir.”
Bulaşıcı röportaj madalyonun bir tarafı ise, diğeri Wagemol olarak bilinen hileli BT işçi tehdididir, bu da BT işçilerinin büyük şirketlerde uzaktan çalışan olarak işe alınmasını sağlamak için AI kullanarak sahte kişilerin hazırlanmasını içeren bir taktik anlamına gelir.
Bu çabalar, aylık maaşların bir kısmını Kore Demokratik Halk Cumhuriyeti’ne (DPRK) geri göndererek hassas verileri çalmak ve finansal kazanç elde etmek için tasarlanmış ikili motivasyonlara sahiptir.
Okta, “Kolaylaştırıcılar şimdi rol için uygulama ve görüşme sürecinde her adımı optimize etmek ve bu istihdamı sürdürmeye çalışan DPRK vatandaşlarına yardımcı olmak için Genai tabanlı araçları kullanıyor.” Dedi.
Diyerek şöyle devam etti: “Bu Genai-Geliştirilmiş Hizmetler, küçük bir kolaylaştırıcı kadrosu tarafından birden fazla DPRK aday kişisi ile iş görüşmelerinin planlanmasını yönetmek için gereklidir. Bu hizmetler, Ses ve Metin gerçek zamanlı çevirisine kadar konuşmaları yazdıran veya özetleyen araçlardan Genai’yi kullanır.”
Trend Micro tarafından toplanan telemetri verileri, Çin, Rusya ve Pakistan’dan çalışan Pyongyang ile uyumlu tehdit aktörlerine işaret ederken, Rus IP aralıklarını RDP üzerinden düzinelerce VPS sunucusuna bağlanmak ve daha sonra iş işe alım alanlarında etkileşim ve kriptokerasyonla ilişkili hizmetlere erişmek gibi görevleri yerine getiriyor.
Şirket, “Kuzey Koreli aktörlerin anonimleştirme ağının daha derin katmanlarının önemli bir kısmının Rusya’da olduğu göz önüne alındığında, düşük ila orta güvenle, Kuzey Kore ve Rus kuruluşları arasında kasıtlı bir işbirliği veya altyapı paylaşımı var.”