Bulaşıcı röportaj kampanyasıyla ilişkili Kuzey Kore bağlantılı tehdit aktörleri, Tsunamikit ve Tropidoor gibi araçlarla birlikte Akdoortea adlı daha önce belgelenmemiş bir arka kapıya atfedildi.
Etkinliği Çıkarılan Geliştirme adı altında izleyen Slovak siber güvenlik firması ESET, kampanyanın tüm işletim sistemleri, Windows, Linux ve macOS’ta yazılım geliştiricilerini, özellikle kripto para birimi ve Web3 projelerinde yer alanlarda hedeflediğini söyledi. Ayrıca Dev#Popper, Famous Chollima, Gwisin Gang, Inciaous Pungsan, UNC5342 ve Void Dokkaebi olarak da adlandırılır.
ESET araştırmacıları Peter Kálnai ve Matěj, Python ve JavaScript’teki ilk gizemli kötü amaçlı komut dosyalarından, “Python ve JavaScript’teki ilk gizlenmiş kötü amaçlı komut dosyalarından oluşuyor.”
Kampanya esasen, LinkedIn, Upwork, Freelancer ve Crypto Jobs listesi gibi platformlar üzerinde kazançlı iş rolleri gibi görünen kimlik kurucu işe alım görevlilerini içeriyor. İlk sosyal yardımdan sonra, potansiyel hedef fırsata olan ilgiyi ifade ederse, bir bağlantıya veya kodlama alıştırmasına tıklayarak bir video değerlendirmesini tamamlamaları istenir.
Programlama ataması, GitHub’da barındırılan ve kötü amaçlı yazılım yükleyen projeleri klonlamalarını gerektirir. Öte yandan, web siteleri, kamera veya mikrofon erişimi ile ilgili var olmayan hataları bloke etmekle ilgili var olmayan hataları görüntülemek için açıkça ayarlanmıştır ve kullanılan çalışma sistemine bağlı olarak komut istemini veya terminal uygulamasını başlatarak sorunu düzeltmek için ClickFix tarzı talimatları izlemeye çağırırlar.
Kullanılan yöntemden bağımsız olarak, saldırıların genellikle Beaverail, InvisibleFerret, Ottercookie, Golangghost (diğer adıyla FlexibleFerret veya Weaselstore) ve Pylangghost gibi birkaç kötü amaçlı yazılım verdiği bulunmuştur.
ESET, “Weaselstore’un işlevselliği hem Beaverail hem de InvisibleFerret’e oldukça benziyor, ana odak tarayıcılardan ve kripto para cüzdanlarından hassas verilerin ortaya çıkmasıdır.” Dedi. “Veriler ortaya çıktıktan sonra, Weaselstore, geleneksel infostalers’tan farklı olarak, çeşitli komutları yürütebilen bir sıçan olarak hizmet veren C&C sunucusu ile iletişim kurmaya devam ediyor.”
Bu enfeksiyon dizilerinin bir parçası olarak, birincisi InvisibleFerret tarafından verilen ve bilgi ve kripto para birimi hırsızlığı için tasarlanmış bir kötü amaçlı yazılım araç seti olan Tsunamikit, Postnaptea ve Tropidoor’dur. Tsunamikit kullanımı ilk olarak Kasım 2024’te keşfedildi.
Araç seti, başlangıç noktası, tsunamiinstaller ve tsunamihardener düşüren bir enjektörün (tsunamiinjector) yürütülmesini tetikleyen başlangıç noktası Tsunamiloader olan birkaç bileşen içerir.
Tsunamiinstaller, daha sonra Tsunamiclient’i indirip yürüten TsunamiclientInstaller’ın bir damlası görevi görürken, Tsunamihardener TsunamicLient için kalıcılık oluşturmaktan sorumludur. TsunamicLient, bir .NET casus yazılımını içeren ve XMRIG ve NBMiner gibi kripto para madencilerini düşüren çekirdek modüldür.
Tsunamikit’in, araç seti ile ilgili örneklerin Aralık 2021’e kadar ortaya çıktığı ve 2022’nin sonlarında başlamış olduğu düşünülen bulaşıcı röportajın başlangıcından önce ortaya çıkarıldığı göz önüne alındığında, tehdit oyuncunun yerel bir yaratılışından ziyade karanlık bir web projesinin bir modifikasyonu olduğuna inanılmaktadır.
Beaverail Stealer ve Downloader, ASEC’e göre Lightlesscan adlı bir Lazarus Grup aracıyla örtüşen Tropidoor olarak bilinen başka bir kötü amaçlı yazılım için bir dağıtım aracı olarak da hareket ettiği bulundu. ESET, Kenya, Kolombiya ve Kanada’dan Virustotal’a yüklenen tropidoor eserlerinin kanıtını bulduğunu ve kötü amaçlı yazılımın, 2022’de Tehdit Oyuncusu tarafından Güney Kore hedeflerine karşı kullanılan bir kötü amaçlı yazılım olan Postnapte ile “büyük kodlar” paylaştığını eklediğini söyledi.
PostNaptea, yapılandırma güncellemeleri, dosya manipülasyonu ve ekran yakalama, dosya sistemi yönetimi, süreç yönetimi ve Whowami, Netstat, Tracert, Lookup, Ipconfig ve SystemInfo gibi Windows komutlarının özel sürümlerini, diğerlerinin yanı sıra, LightlessCan’da bulunan bir özellik için destekler.
ESET, “Tropidoor, muhtemelen Lazarus şemsiyesi altındaki teknik olarak daha gelişmiş tehdit aktörleri tarafından geliştirilen kötü amaçlı yazılımlara dayandığı için, aldatılmış geliştirme grubuna bağlı en sofistike yüktür.” Dedi.
 |
| Weaselstore’un yürütme zinciri |
Tehdit oyuncusu Arsenal’in en son eki, bir Windows toplu komut dosyası aracılığıyla sunulan Akdoortea olarak adlandırılan bir uzaktan erişim Truva atıdır. Komut dosyası bir zip dosyası indirir (“nvidiarelease.zip”) ve içinde bulunan görsel bir temel komut dosyası yürütür, bu da arşivde de bulunan Beaverail ve Akdoortea yüklerini başlatmaya devam eder.
Kampanyanın, video değerlendirmelerini sağlarken sözde kamera veya mikrofon sorunlarını ele almak için ClickFix saldırılarının bir parçası olarak geçmişte NVIDIA temalı sürücü güncellemelerini kullandığını ve bu yaklaşımın Akdoortea’yı yaymak için kullanıldığını göstermeye değer.
Akdoortea adını, Nukesped (diğer adıyla manuscrypt) implantının bir çeşidi olarak tanımlanan ve bulaşıcı röportajın daha büyük Lazarus grup şemsiyesi ile bağlantılarını güçlendiren Akdoor ile ortaklıkları paylaşması gerçeğinden alıyor.
ESET, “Alınan Geliştirme’nin TTP’leri, operasyonlarının daha dağıtılmış, hacim güdümlü bir modelini göstermektedir. Genellikle teknik sofistike olmamasına rağmen, grup ölçek ve yaratıcı sosyal mühendislik yoluyla telafi eder.” Dedi.
“Kampanyaları pragmatik bir yaklaşım gösteriyor, açık kaynaklı takımlardan yararlanıyor, mevcut karanlık web projelerini yeniden kullanıyor, muhtemelen Kuzey Kore’ye uyumlu diğer gruplardan kiralanan kötü amaçlı yazılımları uyarlıyor ve sahte iş teklifleri ve röportaj platformları aracılığıyla insan güvenlik açıklarından yararlanıyor.”
Bulaşıcı röportaj, Pyongyang’ın hileli BT işçisi planı (diğer adıyla wagemol) ile bir miktar örtüşme paylaştığı tespit edildiğinden, Zscaler, eskisinden zekanın, kuzey Koreli aktörler tarafından çalınan kimlikler kullanan şirketlerde işleri güvence altına almak için kullanıldığını belirtti. BT işçi tehdidinin 2017’den beri devam ettiğine inanılıyor.
 |
| Bulaşıcı röportaj ve wagemol arasındaki bağlantı |
Siber güvenlik şirketi Trellix, bu hafta yayınlanan bir raporda, bir ABD sağlık şirketini hedefleyen bir Kuzey Koreli BT işçi istihdam sahtekarlığının bir örneğini ortaya çıkardığını ve burada “Kyle Lankford” adını kullanan bir bireyin ana yazılım mühendisi pozisyonu için başvurduğu bir örneği ortaya çıkardığını söyledi.
İş başvurusu, işe alım sürecinin ilk aşamalarında herhangi bir kırmızı bayrak oluşturmasa da, Trellix e -posta adreslerini bilinen Kuzey Kore BT işçi göstergeleriyle ilişkilendirebildiğini söyledi. E -posta borsalarının ve arka plan kontrollerinin daha fazla analizini, adayı olası bir Kuzey Kore operatörü olarak tanımladı.
ESET, “Kuzey Koreli BT işçilerinin faaliyetleri melez bir tehdit oluşturuyor.” “Bu işe alım sahtekarlığı planı, kimlik hırsızlığı ve sentetik kimlik sahtekarlığı gibi klasik cezai operasyonları, onu hem geleneksel bir suç hem de siber suç (veya e-suç) olarak sınıflandıran dijital araçlarla birleştirir.”