Devam eden Bulaşıcı Röportaj kampanyasının arkasındaki Kuzey Koreli tehdit aktörlerinin, adlı yeni bir JavaScript kötü amaçlı yazılımını bıraktığı gözlemlendi. Su samuru kurabiyesi.
Bulaşıcı Röportaj (diğer adıyla DeceptiveDevelopment), bilgisayar korsanlığı ekibinin genellikle potansiyel iş fırsatları arayan bireyleri, röportaj süreci kisvesi altında kötü amaçlı yazılım indirmeleri için kandırmak için işe alım görevlisi gibi davrandığı, sosyal mühendislik cazibesini kullanan ısrarlı bir saldırı kampanyasını ifade eder.
Bu, GitHub’da veya resmi paket kayıt defterinde barındırılan, kötü amaçlı yazılım içeren video konferans uygulamalarının veya npm paketlerinin dağıtılmasını içerir ve BeaverTail ve InvisibleFerret gibi kötü amaçlı yazılımların dağıtımının önünü açar.
Etkinliği ilk kez Kasım 2023’te ortaya çıkaran Palo Alto Networks Birim 42, kümeyi CL-STA-0240 adı altında izliyor. Aynı zamanda Ünlü Chollima ve İnatçı Pungsan olarak da anılır.
Eylül 2024’te Singapurlu siber güvenlik şirketi Group-IB, saldırı zincirindeki ilk büyük revizyonu belgeleyerek, BeaverTail’in bilgi çalma işlevini toplu olarak takip edilen bir dizi Python komut dosyasına aktararak modüler bir yaklaşım benimseyen güncellenmiş bir sürümünün kullanımını vurguladı. CivetQ.
Bu aşamada, Bulaşıcı Röportaj’ın, kötü amaçlı yazılım bulaşma sürecini tetiklemek için işle ilgili benzer tuzaklar kullanan, uzun süredir devam eden bir başka Kuzey Kore bilgisayar korsanlığı kampanyası olan Dream Job Operasyonu’ndan farklı olarak değerlendirildiğini belirtmekte fayda var.
Japon siber güvenlik şirketi NTT Security Holdings’in en son bulguları, BeaverTail’in başlatılmasından sorumlu olan JavaScript kötü amaçlı yazılımının aynı zamanda OtterCookie’yi alıp yürütmek için tasarlandığını ortaya koyuyor. Yeni kötü amaçlı yazılımın Eylül 2024’te tanıtıldığı ve geçen ay yeni bir sürümün tespit edildiği söyleniyor.
OtterCookie çalıştırıldığında, Socket.IO JavaScript kitaplığını kullanarak bir komut ve kontrol (C2) sunucusuyla iletişim kurar ve daha sonraki talimatları bekler. Dosyalar, pano içeriği ve kripto para birimi cüzdan anahtarları dahil olmak üzere veri hırsızlığını kolaylaştıran kabuk komutlarını çalıştırmak üzere tasarlanmıştır.
Eylül ayında tespit edilen eski OtterCookie çeşidi işlevsel olarak benzer, ancak küçük bir uygulama farklılığı içeriyor; burada kripto para cüzdanı anahtar hırsızlığı özelliği, uzak kabuk komutunun aksine doğrudan kötü amaçlı yazılımın içine yerleştirilmiştir.
Bu gelişme, tehdit aktörlerinin enfeksiyon zincirine büyük ölçüde dokunulmadan araçlarını aktif olarak güncellediklerinin bir işaretidir ve kampanyanın etkinliğinin devam eden bir işaretidir.
Güney Kore, BT Çalışanı Dolandırıcılığı nedeniyle 15 Kuzey Koreliye yaptırım uyguladı
Aynı zamanda Güney Kore Dışişleri Bakanlığı’nın (MoFA), Kuzey Kore’ye geri aktarılabilecek, yasadışı olarak sabit bir gelir kaynağı elde etmek amacıyla kuzeydeki mevkidaşı tarafından düzenlenen sahtekar bir BT çalışanı planıyla bağlantılı olarak 15 kişi ve bir kuruluşa yaptırım uygulaması da geldi. veriler ve hatta bazı durumlarda fidye talep etmek.
İçeriden tehdit operasyonunun arkasında da Ünlü Chollima tehdit kümesinin olduğunu gösteren kanıtlar var. Ayrıca Nickel Goblen, UNC5267 ve Wagemole gibi çeşitli isimlerle de anılır.
Yaptırım uygulanan 15 kişiden biri olan Kim Ryu Song da bu ayın başında ABD Adalet Bakanlığı (DoJ) tarafından yaptırımları ihlal etme, elektronik dolandırıcılık, kara para aklama ve kimlik hırsızlığı yapma yönünde uzun süredir devam eden bir komploya karıştığı iddiasıyla suçlanmıştı. ABD şirketlerinde ve kar amacı gütmeyen kuruluşlarda yasa dışı olarak iş arayarak.
Ayrıca, serbest veya tam zamanlı işler sağlayarak rejime fon sağlamak amacıyla çok sayıda BT personelini Çin, Rusya, Güneydoğu Asya ve Afrika’ya göndermekle suçlanan Chosun Geumjeong Ekonomik Bilgi Teknolojileri Değişim Şirketi de Maliye Bakanlığı tarafından yaptırıma tabi tutuldu. Batılı şirketlerde.
Bu BT çalışanlarının, Kore İşçi Partisi’nin Mühimmat Endüstrisi Departmanı’na bağlı bir kuruluş olan 313. Genel Büro’nun bir parçası olduğu söyleniyor.
“313. Genel Büro […] Bakanlık, “Kuzey Koreli bilişim personelinin çoğunu yurtdışına gönderiyor ve kazanılan dövizi nükleer ve füze geliştirme için fon sağlamak için kullanıyor ve aynı zamanda askeri sektör için yazılım geliştirmede de yer alıyor.” dedi.
“Kuzey Kore’nin yasadışı siber faaliyetleri, yalnızca siber ekosistemin güvenliğini tehdit eden suç eylemleri değil, aynı zamanda Kuzey Kore’nin nükleer ve füze geliştirmesi için fon olarak kullanıldığı için uluslararası barış ve güvenliğe de ciddi bir tehdit oluşturuyor.”