Sofistike bir siber suçlu kampanya, sistem devralma komutlarını yürütmek için tasarlanmış titizlikle hazırlanmış sahte zoom uygulamaları aracılığıyla hedefleme profesyonellerini ortaya çıkardı.
Saldırı, kullanıcıları sistemlerinden ödün vermeye kandırmak için ikna edici etki alanı sahtekarlığı ile birlikte gelişmiş sosyal mühendislik tekniklerinden yararlanır ve uzaktan erişim truva atlarında önemli bir evrimi temsil eder ve iş e -posta uzlaşma taktikleri.
Kuzey Kore’ye bağlı tehdit aktörleri, video konferans platformlarının, özellikle de LinkedIn merkezli sosyal mühendislik yoluyla iş profesyonellerini ve girişimcileri hedefleyen video konferans platformlarının yaygın olarak benimsenmesini kullanan ayrıntılı bir plan geliştirdiler.
.png
)
Kampanya, saldırganların tartışmalara devam etmek için video konferans toplantıları önermeden önce potansiyel kurbanlarla ilişki kurdukları profesyonel ağ platformlarında görünüşte meşru iş sorguları ile başlıyor.
Kötü niyetli altyapı, meşru zoom hizmetlerini yakından taklit eden ikna edici bir şekilde sahte alanların etrafında toplanır. Özellikle, saldırganlar resmi zoom altyapısının yanılsamasını oluşturmak için “zoom.usweb08.us” gibi alt alanlarla “usweb08.us” gibi alan adlarını kaydetmiştir.
Bu alanlar, konuşlandırmadan kısa bir süre önce stratejik olarak kaydedildi, WHOIS kayıtları yaratma tarihlerini 17 Nisan 2025’e kadar gösteriyor ve kampanyanın mevcut ve aktif doğasını gösteriyor.
LinkedIn analistleri ve araştırmacılar, bu kötü amaçlı yazılım kampanyasını teknoloji yöneticilerine ve başlangıç kurucularına yönelik doğrudan hedefleme girişimleri yoluyla belirlediler.
Saldırının sofistike doğası, güvenlik profesyonelleri birden fazla potansiyel kurbanda özdeş yaklaşımları belgelemeye başladığında, izole olaylardan ziyade koordineli bir çabayı ortaya çıkardığında belirginleşti.
Silahlı uygulamalar, kullanıcılara sahte katılımcı video fayansları, sohbet mesajları ve simüle edilmiş toplantı ortamları ile mükemmel bir şekilde çoğaltılmış zoom arayüzleri sunar.
Mağdurlar bu hileli toplantılara katılmaya çalıştıklarında, sistem uzlaşması bahanesi görevi gören tasarlanmış ses bağlantısı sorunlarıyla karşılaşırlar.
Sahte sorun giderme işlemi, kullanıcıları teknik zorlukların çözülmesi kisvesi altında terminal komutlarını yürütmeye yönlendirerek, saldırganlara kurban sistemlerine idari erişim sağlıyor.
Kampanyanın etkisi, bireysel uzlaşmaların ötesine geçiyor, kuruluşları kilit personeli aracılığıyla hedef alıyor ve hassas kurumsal verilere, kripto para birimi varlıklarına ve fikri mülkiyete erişiyor.
Bu saldırıların mesleki sunumu ve zamanlaması, Kuzey Kore siber operasyonlarıyla tutarlı ulus-devlet düzeyinde kaynak ve planlama yeteneklerini göstermektedir.
Enfeksiyon mekanizması ve sosyal mühendislik taktikleri
Saldırı dizisi, iş iletişim modellerinin ve teknik destek prosedürlerinin sofistike bir şekilde anlaşılmasını göstermektedir.
Saldırganlar, genellikle potansiyel iş ortaklarını veya kurbanın hizmetleriyle ilgilenen müşterileri taklit eden profesyonel LinkedIn profilleri aracılığıyla temas kurarlar.
.webp)
İlk temas kurulduktan sonra, iletişim telgraf gibi şifrelenmiş mesajlaşma platformlarına geçer ve platform izlemeden kaçınırken meşru görünen daha özel bir kanal oluşturur.
Zamanlama aşamasında, etkileşime ek güvenilirlik sağlayan takvim rezervasyon sistemleri kullanır. Saldırganlar genellikle standart iş uygulamalarının görünümünü koruyarak meşru takvim bağlantıları aracılığıyla toplantılara girerler.
Planlanan toplantılardan yaklaşık 20 dakika önce, saldırganlar teknik zorluklar talep eden acil mesajlar gönderiyorlar veya ekip üyelerinin zaten beklediği ve derhal eylem için baskı oluşturduğunu.
Teknik yürütme, kurbanları ilk kötü amaçlı bağlantıdan terminal komutu yürütmesini isteyen sahte sorun giderme sayfalarına yönlendirmeyi içerir.
Bu komutlar muhtemelen kalıcı arka kapı erişimi oluşturur, veri açığa vurma özelliklerini etkinleştirir veya algılama mekanizmalarından kaçarken uzun vadeli sistem erişimini sürdürmek için tasarlanmış ek kötü amaçlı yazılım bileşenleri yükler.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free tria