Kuzey Koreli bilgisayar korsanlarının, RustDoor adı verilen gelişmiş bir kötü amaçlı yazılımı dağıtmak amacıyla LinkedIn kullanıcılarını hedef aldığı tespit edildi.
Bu siber tehdit, çoğunlukla Kuzey Kore’den gelen devlet destekli bilgisayar korsanı gruplarının, amaçlarına ulaşmak için giderek daha fazla profesyonel ağ platformlarında sosyal mühendisliğe yönelen gelişen taktiklerini gözler önüne seriyor.
Sosyal Mühendislik Taktikleri
Kuzey Koreli bilgisayar korsanları, profesyonel ağ oluşturma amacıyla yaygın olarak kullanılan LinkedIn platformunu, işe alım uzmanlarını ve insan kaynakları profesyonellerini taklit ederek istismar ediyor.
Jamf Threat Labs’a göre bu saldırganlar, çoğunlukla teknoloji sektöründeki meşru şirketleri taklit eden sahte profiller oluşturuyor.
Potansiyel mağdurlara ilk baştaki şüpheleri aşarak iş fırsatları sunarak onlara ulaşırlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Saldırganlar, hedeflerini sosyal medya aktivitelerini inceleyerek titizlikle araştırıyor ve özellikle kripto para ve teknoloji sektöründe faaliyet gösterenlere odaklanıyor.
Bir kez bağlantı kurulduğunda, kurbanla sohbetlere girerler ve sonunda kötü amaçlı yazılım teslimatına yol açarlar. Bu yöntem, profesyonel ağ kurmanın doğasında bulunan güveni kullanır ve siber güvenlikteki insan zaaflarından yararlanır.
Teslimat Mekanizması: RustDoor Kötü Amaçlı Yazılımı
Bu saldırılarda kullanılan birincil araç RustDoor kötü amaçlı yazılımıdır. İşlem genellikle meşru görünen bir kodlama zorluğu veya işe alım öncesi test göndermeyi içerir.
Örneğin, kurbanlar standart bir kodlama görevi gibi görünen bir Visual Studio projesi alabilirler. Ancak, bu projenin içinde, projeyi oluştururken yürütülmek üzere tasarlanmış kötü amaçlı betikler gizlidir.
Bu betikler uzak sunuculardan ek yükler indirerek kendilerini kurbanın sistemine derinlemesine yerleştirirler.
RustDoor kötü amaçlı yazılımı hem bilgi hırsızı hem de arka kapı olarak hareket ediyor; Visual Studio gibi meşru uygulamaların kisvesi altında dosyaları indirip yükleyebiliyor, kabuk komutları çalıştırabiliyor ve hatta kullanıcılardan parola isteyebiliyor.
{
"id": 6,
"name": "Visual Studio",
"path": "/Applications/Visual Studio.app/",
"icon": "/Applications/Visual Studio.app/Contents/Resources/VisualStudio.icns",
"exec": "VisualStudio",
"show_dialog": true,
"dialog_title": "Visual Studio Setup",
"dialog_msg": "Visual Studio requires permission to compilation projects. Please enter password for "
}Azaltma ve Müdahale
Bu saldırıların giderek daha karmaşık hale gelmesi, güçlü siber güvenlik önlemlerine ve farkındalık eğitimlerine olan ihtiyacı vurguluyor.
Kuruluşların, çalışanlarını LinkedIn ve diğer sosyal medya platformlarındaki istenmeyen temaslarla ilişkili riskler konusunda eğitmeleri önemle rica olunur.
Bireyler, yazılım yürütmeye yönelik iş tekliflerinin ve taleplerinin meşruiyetini, işleme başlamadan önce doğrulamalıdır.
Ayrıca, kötü amaçlı yazılım operasyonlarına işaret eden olağandışı ağ etkinliklerini tespit edebilen araçların kullanılmasının yanı sıra, güvenlik yazılımları ve sistemlerine yönelik düzenli güncellemelerle teknik savunmalar güçlendirilmelidir.
Kripto para sektöründeki şirketler, artan risk profilleri nedeniyle özellikle dikkatli olmalı.
Kuzey Koreli aktörlerden kaynaklanan devam eden siber tehditler, sosyal mühendislik tekniklerini kullanan devlet destekli siber suçların daha geniş bir eğilimini vurguluyor.
Bu taktikler daha karmaşık hale geldikçe, bireyler ve kuruluşlar potansiyel tehditleri etkili bir şekilde azaltmak için siber güvenlik uygulamalarında dikkatli ve proaktif olmalıdır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial