Kuzey Kore ile uyumlu bir tehdit grubu olan ünlü Chollima, BeaverTail ve OtterCookie’nin aldatıcı iş teklifleri yoluyla kimlik bilgilerini ve kripto para birimini çalmak için giderek daha fazla işlevselliği birleştirmesiyle cephaneliğini geliştirdi.
Yakın zamanda yapılan bir kampanya, kötü amaçlı bir NPM paketi aracılığıyla dağıtılan truva atı haline getirilmiş bir Node.js uygulamasını içeriyordu ve bu da grubun dağıtım yöntemlerindeki adaptasyonunu vurguluyor.
Kampanyada, Famous Chollima, sahte iş görüşmelerinde BeaverTail ve OtterCookie çeşitlerini birleştirdiğini, keylogging ve ekran görüntüsü yakalama için yeni modüller içerdiğini belirtiyor.
Kripto para birimi temalı bir satranç uygulamasına yerleştirilmiş kötü amaçlı bir NPM paketi “node-nvm-ssh”, bulaşma vektörü olarak görev yapıyor ve gizlenmiş JavaScript yüklerini yürütüyor.
OtterCookie, 2024’ün sonlarından bu yana, uzaktan kabuk erişimi, dosya sızdırma ve kripto para cüzdanı hedefleme gibi yetenekler ekleyen beş versiyonla gelişti.
BeaverTail, OtterCookie ve InvisibleFerret arasındaki işlevsel örtüşmeler, Windows sistemlerindeki Python bağımlılıklarını azaltmak için JavaScript tabanlı araçlara doğru bir geçiş yapılmasını öneriyor.
Kampanya Etkinliği
Kuzey Kore bağlantılı Lazarus kolektifinin bir alt grubu olan ünlü Chollima, BeaverTail ve OtterCookie’yi daha birleşik bilgi hırsızları olarak harmanlayarak Bulaşıcı Röportaj kampanyalarındaki cephaneliğini geliştirmeye devam ediyor.
Bu operasyonlar, işe alım görevlisi gibi davranarak iş arayanları avlıyor ve mağdurları mülakatla ilgili görevler kisvesi altında kusurlu yazılım yüklemeye teşvik ediyor.
Gözlemlenen bir olayda, Sri Lanka’daki bir kuruluş, bir kullanıcı kripto para birimi bahis özelliklerine sahip bir web3 satranç platformu olan “Chessfi” için bir Bitbucket deposunu klonladığında tesadüfi bir uzlaşmaya maruz kaldı.
Deponun bağımlılıkları, NPM’den kötü amaçlı “node-nvm-ssh” paketini alarak, “test.list” gibi gömülü dosyalardan gizlenmiş JavaScript’i yürütmek üzere alt işlemleri üreten kurulum sonrası komut dosyalarını tetikledi.
Bu veri, BeaverTail ve OtterCookie kod tabanlarının yakınsamasını ortaya koyuyor. BeaverTail, Chrome, Brave, Edge ve diğer tarayıcılarda MetaMask, Phantom ve Solflare gibi cüzdanlara yönelik uzantıları hedefleyerek tarayıcı profili numaralandırmasını yönetir. Ayrıca Python tabanlı InvisibleFerret modüllerini C2 sunucularından 1224 gibi bağlantı noktaları üzerinden indirir ve yürütmeyi etkinleştirmek için Windows’a Python dağıtımlarını yükler.
OtterCookie bunu, komut yürütme ve sistem parmak izi almak için Socket.io-client kullanan bir uzak kabuk, belirli yolları hariç tutarken belgeleri, kimlik bilgilerini ve kriptoyla ilgili dosyaları tarayan bir dosya yükleyici ve BeaverTail’in listesiyle örtüşen bir kripto para birimi uzantı hırsızı gibi modüler uzantılarla tamamlıyor.
İlk olarak Nisan 2025’te görülen yeni bir OtterCookie modülü, keylogging ve ekran görüntüsü yetenekleri ekleyerek C2 uç noktalarına sızmadan önce geçici dosyalardaki verileri ara belleğe alıyor. Pano izleme, macOS’ta “pbpaste” veya Windows’ta PowerShell gibi işletim sistemine özgü komutlar kullanılarak çeşitli şekillerde görünür.
Cisco Talos araştırmacıları ayrıca, bir katılım aracını taklit eden ve benzer kodlar içeren şüpheli bir VS Code uzantısını da ortaya çıkardı.
İlişkilendirme geçici olarak kalsa da, editör tabanlı dağıtımla ilgili potansiyel denemelerin sinyalini veriyor.
Kötü Amaçlı Yazılım Gelişimi ve Teknikleri
OtterCookie’nin ilerleyişi, 2024 sonlarından itibaren sürüm 1’deki temel RCE’den Ağustos 2025’teki sürüm 5’e kadar uzanıyor ve ortam kontrolleri ve kod yükleme için hata işleyici değerlendirmesi gibi anti-analiz hilelerini içeriyor.
İlk sürümler, yükler için HTTP çerezlerine dayanıyordu ve bu durum, anında yürütülen modüler dizelere dönüşüyordu. 2023’ün ortasından bu yana aktif olan BeaverTail, benzer şekilde C2 URL’leri için base64 karıştırma ve genellikle tedarik zinciri saldırılarında bir araya getirilen platformlar arası destek ile uyum sağladı.
Wagemole, Nickel Tapestry, Purple Bravo, Tenacious Pungsan, Void Dokkaebi, Storm-1877 ve UNC5267 olarak da bilinen ünlü Chollima, en az 2018’den beri aktif olan bir Kuzey Kore bağlantı noktası tehdit aktörüdür.
Ünlü Chollima, Hindistan’a ve ABD, Almanya ve Ukrayna dahil olmak üzere Batı ülkelerine odaklanarak kripto para birimi, blockchain ve teknoloji sektörlerini hedef alıyor.
Faaliyetleri öncelikle mali kazanç ve Kuzey Kore rejimini desteklemek için casusluk yapmaya odaklanıyor. Grubun, önemli bir istihbarat servisi olan Kuzey Kore’nin Genel Keşif Bürosu’na bağlı olduğu değerlendiriliyor.
Ünlü Chollima, kuruluşlara sızmak için meşru uzak BT çalışanları gibi davranarak gelişmiş sosyal mühendislik kullanıyor. Sahte kimlikler yaratıyorlar, özgeçmişleri tahrif ediyorlar ve ikna edici profiller oluşturmak için üretken yapay zekayı kullanıyorlar, Upwork ve LinkedIn gibi platformlar aracılığıyla küçük ve orta ölçekli işletmelerde rolleri güvence altına alıyorlar. Yerleştirildikten sonra kimlik bilgilerini ve hassas verileri çalmak için BeaverTail ve InvisibleFerret gibi özel kötü amaçlı yazılımlar dağıtıyorlar.
Grup, kripto para birimi ve blockchain sektörlerini hedef almak için PylangGhost gibi kötü niyetli Python tabanlı RAT’lar sunarak sahte işe alım kampanyalarından yararlanıyor. Kayıt defteri değişiklikleri yoluyla kalıcılık sağlarlar ve komut ve kontrol iletişimi için RC4 ile şifrelenmiş HTTP’yi kullanırlar.
Operasyonları, uluslararası yaptırımlardan kaçarak, yasa dışı kazanılmış maaşlar ve çalıntı varlıklar yoluyla Kuzey Kore rejimini finanse ediyor. Grubun altyapısı, faaliyetlerini gizlemek için genellikle anonimleştirme ağlarına dayanıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.