Siber güvenlik araştırmacıları, Kore Demokratik Halk Cumhuriyeti’ne (DPRK) bağlı saldırganların, iş arayanları hedef alan önceki siber casusluk kampanyalarının bir parçası olarak sunduğu bilinen bir hırsızlık yazılımının güncellenmiş bir sürümünü keşfetti.
Güvenlik araştırmacısı Patrick Wardle, söz konusu eserin, aynı isimli meşru görüntülü görüşme servisini taklit eden “MiroTalk.dmg” adlı bir Apple macOS disk görüntüsü (DMG) dosyası olduğunu, ancak gerçekte BeaverTail’in yerel bir sürümünü iletmek için bir kanal görevi gördüğünü söyledi.
BeaverTail, ilk olarak Palo Alto Networks Unit 42 tarafından Kasım 2023’te, yazılım geliştiricilerini sözde bir iş görüşmesi süreci aracılığıyla kötü amaçlı yazılımlarla enfekte etmeyi amaçlayan Bulaşıcı Görüşme adlı bir kampanyanın parçası olarak belgelenen bir JavaScript hırsızı kötü amaçlı yazılımına atıfta bulunur. Securonix, aynı etkinliği DEV#POPPER takma adı altında izliyor.
Hassas bilgileri web tarayıcılarından ve kripto cüzdanlarından sızdırmanın yanı sıra, kötü amaçlı yazılım, AnyDesk’i kalıcı uzaktan erişim için indirmekten sorumlu olan bir Python arka kapısı olan InvisibleFerret gibi ek yükler sunma yeteneğine de sahip.
BeaverTail, GitHub’da barındırılan sahte npm paketleri ve npm paket kayıt defteri aracılığıyla dağıtılmış olsa da, son bulgular dağıtım vektöründe bir değişimi işaret ediyor.
“Tahmin etmem gerekirse, DPRK hacker’ları muhtemelen potansiyel kurbanlarına yaklaşıp, mirotalk’ta barındırılan (virüslü) MiroTalk sürümünü indirip çalıştırarak bir işe alım toplantısına katılmalarını talep ettiler.[.]Wardle, “Net” dedi.
İmzalanmamış DMG dosyasının analizi, Google Chrome, Brave ve Opera gibi web tarayıcılarından, kripto para cüzdanlarından ve iCloud Keychain’den veri çalınmasını kolaylaştırdığını ortaya koyuyor. Dahası, uzak bir sunucudan (yani, InvisibleFerret) ek Python betiklerini indirmek ve yürütmek üzere tasarlanmıştır.
Wardle, “Kuzey Koreli bilgisayar korsanları kurnaz bir grup ve macOS hedeflerini hacklemede oldukça yetenekliler. Ancak kullandıkları teknikler çoğunlukla sosyal mühendisliğe dayanıyor (ve bu nedenle teknik açıdan pek de etkileyici değiller),” dedi.
Açıklama, Phylum’un call-blockflow adlı yeni bir kötü amaçlı npm paketini ortaya çıkarmasının ardından geldi. Bu paket, meşru call-bind ile neredeyse aynı ancak radar altında uçmak için özenli çabalar sarf ederken uzaktaki bir ikili dosyayı indirmek için karmaşık işlevler içeriyor.
Hacker News ile paylaşılan açıklamada, “Bu saldırıda çağrı-bağlama paketi tehlikeye atılmamış olsa da, silahlandırılmış çağrı-bloklama akışı paketi, saldırının başarısını artırmak için orijinalin tüm güvenini ve meşruiyetini kopyalıyor” denildi.
Kuzey Kore bağlantılı Lazarus Group’un işi olduğundan şüphelenilen ve npm’e yüklendikten yaklaşık bir buçuk saat sonra yayınlanmayan paket, toplam 18 indirmeye yol açtı. Kanıtlar, üç düzineden fazla kötü amaçlı paketten oluşan etkinliğin Eylül 2023’ten bu yana dalgalar halinde devam ettiğini gösteriyor.
Yazılım tedarik zinciri güvenlik şirketi, “Bu paketler kurulduktan sonra uzak bir dosyayı indirir, şifresini çözer, ondan dışarı aktarılan bir işlevi yürütür ve ardından dosyaları silerek ve yeniden adlandırarak izlerini titizlikle örter,” dedi. “Bu, paket dizinini kurulumdan sonra görünüşte zararsız bir durumda bıraktı.”
Bu karar, JPCERT/CC’nin Kuzey Koreli Kimsuky aktörü tarafından Japon kuruluşlarını hedef alan siber saldırılar konusunda uyarıda bulunmasının ardından geldi.
Enfeksiyon süreci, güvenlik ve diplomatik kuruluşları taklit eden kimlik avı mesajlarıyla başlıyor ve açıldığında bir Visual Basic Script’in (VBS) indirilmesine yol açan kötü amaçlı bir yürütülebilir dosya içeriyor; bu da kullanıcı hesabı, sistem ve ağ bilgilerini toplamak ve dosyaları ve işlemleri numaralandırmak için bir PowerShell betiği alıyor.
Toplanan bilgiler daha sonra bir komuta ve kontrol (C2) sunucusuna sızdırılıyor ve sunucu da ikinci bir VBS dosyasıyla yanıt veriyor; bu dosya çalıştırılarak InfoKey adlı PowerShell tabanlı bir tuş kaydedici alınıyor ve çalıştırılıyor.
JPCERT/CC, “Kimsuky’nin Japonya’daki örgütleri hedef alan saldırı faaliyetlerine dair az sayıda rapor olmasına rağmen, Japonya’nın da aktif olarak hedef alınması ihtimali var” dedi.