Kuzey Kore ile bağlantısı olan tehdit aktörlerinin, BeaverTail ve InvisibleFerret olarak izlenen bilinen kötü amaçlı yazılım ailelerinin güncellenmiş sürümlerini sunmak için teknoloji endüstrisindeki iş arayanları hedef aldığı gözlemlendi.
CL-STA-0240 olarak takip edilen etkinlik kümesi, adlı bir kampanyanın parçası Bulaşıcı Röportaj Palo Alto Networks Birim 42’nin ilk olarak Kasım 2023’te açıklandığı.
Unit 42 yeni bir raporda, “CL-STA-0240’ın arkasındaki tehdit aktörü, potansiyel bir işveren gibi davranarak iş arama platformları aracılığıyla yazılım geliştiricilerle iletişim kuruyor” dedi.
“Saldırganlar, kurbanı, tehdit aktörünün kurbanı kötü amaçlı yazılım indirip yüklemeye ikna etmeye çalıştığı çevrimiçi bir röportaja katılmaya davet ediyor.”
Bulaşmanın ilk aşaması, hem Windows hem de Apple macOS platformlarını hedeflemek için tasarlanmış BeaverTail indiricisini ve bilgi hırsızını içerir. Kötü amaçlı yazılım, Python tabanlı InvisibleFerret arka kapısı için bir kanal görevi görüyor.
Faaliyetin kamuya açıklanmasına rağmen aktif kaldığını gösteren kanıtlar mevcut; bu da operasyonun arkasındaki tehdit aktörlerinin, geliştiricileri bir kodlama görevi bahanesi altında kötü amaçlı kod çalıştırmaya teşvik ederek başarıyı tatmaya devam ettiklerini gösteriyor.
Güvenlik araştırmacısı Patrick Wardle ve siber güvenlik şirketi Group-IB, yakın tarihli iki analizde, BeaverTail ve InvisibleFerret ile geliştirici sistemlerine sızmak için MiroTalk ve FreeConference.com’u taklit eden sahte Windows ve maCOS video konferans uygulamalarından yararlanan bir saldırı zincirinin ayrıntılarını açıkladı.
Sahte uygulamanın hem Windows hem de macOS için çapraz derlemeyi destekleyen Qt kullanılarak geliştirilmiş olması dikkat çekici. BeaverTail’in Qt tabanlı sürümü, tarayıcı şifrelerini çalma ve çeşitli kripto para cüzdanlarından veri toplama kapasitesine sahip.
BeaverTail, verileri düşman kontrolündeki bir sunucuya sızdırmanın yanı sıra, kendine ait iki bileşen içeren InvisibleFerret arka kapısını indirip çalıştırabilecek donanıma sahiptir:
- Etkilenen ana bilgisayarın parmak izinin alınmasını, uzaktan kontrolü, tuş kaydetmeyi, veri sızmasını ve AnyDesk’in indirilmesini sağlayan bir ana veri yükü
- Tarayıcı kimlik bilgilerini ve kredi kartı bilgilerini toplayan bir tarayıcı hırsızı
Birim 42, “Kuzey Koreli tehdit aktörlerinin Kuzey Kore rejimini desteklemek için mali suçlar işlediği biliniyor” dedi. “BeaverTail kötü amaçlı yazılımının 13 farklı kripto para birimi cüzdanını çalma kapasitesine sahip olması nedeniyle bu kampanya finansal amaçlı olabilir.”