Devam eden iki çabanın (Bulaşıcı Röportaj ve Wagemole) Kuzey Koreli Bilgisayar Korsanları ve devlet destekli tehdit aktörleriyle bağlantılı iş arama faaliyetlerini hedef aldığı belirlendi.
Tehdit aktörleri, geliştiricileri işveren gibi davranarak kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla “Bulaşıcı Röportaj”daki röportaj sürecini kullanıyor.
“Wagemole” vakasında tehdit aktörleri, merkezi ABD ve diğer ülkelerde bulunan şirketlerde hem casusluk hem de mali kazanç sağlama olasılığı bulunan izinsiz istihdam arayışındadır.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Bulaşıcı Görüşmeye Genel Bakış
Unit 42 araştırmacılarına göre bu kampanyanın arkasındaki tehdit aktörü, iş arama ağlarındaki reklamlarda potansiyel bir işverenin kimliğine bürünerek yazılım geliştiricilerini hedef alıyor. Reklamlar sıklıkla yanıltıcı derecede belirsiz veya anonimdir ve temsil ettikleri işverenin kim olduğunu söylemezler.
Unit 42, Cyber Security News ile paylaşılan bir raporda, “Bu kampanyaya bağlayabildiğimiz reklamlar genellikle isimsiz veya kasıtlı olarak belirsizdir ve temsil ettikleri işverene dair gerçek bir gösterge yoktur” dedi.
“Bu tehdit aktörü aynı zamanda meşru AI, kripto para birimi ve NFT ile ilgili şirketlerin veya işe alım ajanslarının kimliğine bürünebilir.”
Bu tehdit aktörü, diğer tehdit aktörleri gibi potansiyel olarak mağdurlarla e-posta, sosyal medya veya yazılım geliştirici topluluğu forumlarındaki sohbet odaları aracılığıyla iletişime geçebilir.
Temasın ardından tehdit aktörü, mağduru çevrimiçi bir röportaja katılmaya teşvik eder. Röportaj için muhtemelen video konferans gibi çevrimiçi işbirliği araçlarını kullanıyorlar.
Tehdit aktörü, görüşme sırasında kurbanı GitHub’da yayınlanan NPM tabanlı bir paketi indirip yüklemeye ikna eder.
Paketteki kötü amaçlı JavaScript, kurbanın ana bilgisayarına arka kapı kötü amaçlı yazılım bulaştırmayı amaçlamaktadır. BeaverTail, Node Paket Yöneticisi (NPM) paketlerinin içine gizlenmiş JavaScript tabanlı bir kötü amaçlı yazılımdır.
NPM web sitesine göre NPM, 17 milyon geliştiricinin kullandığı çok sayıda JavaScript projesi için küresel bir merkezdir.
Wagemole Kampanyası
Bu kampanyada çeşitli ABD işletmeleri ve serbest çalışan istihdam pazarları hedefler arasında yer alıyor. Bu davranış muhtemelen Kuzey Kore’nin uzak çalışanların ücretlerini silah programlarına aktardığını iddia eden yakın tarihli bir çalışmayla bağlantılıdır.
Kişisel iletişim için her sahte özgeçmiş, özellikle İnternet Üzerinden Ses Protokolü (VoIP) numaralarını kullanan ayrı bir ABD telefon numarası içerir. Bazı özgeçmişlerde GitHub içeriğine ve bir LinkedIn sayfasına bağlantılar bulunur.
Bu tehdit aktörü, çeşitli platformlarda serbest çalışma arayarak Afrika’dakiler de dahil olmak üzere daha geniş bir uluslararası pazar yelpazesini hedefliyor.
Araştırmacılar, “Bu dolandırıcı iş arayanların e-posta, serbest çalışan web siteleri, kaynak kodu depoları ve iş bulma kurumu platformları için birden fazla hesabı var” dedi.
“İşleri işe almak, iş başvurusunda bulunanların kimlikleri, özgeçmişleri ve saldırganların Wagemole kampanyasında daha fazla kullanabileceği diğer kişisel veriler gibi daha fazla kişisel kimlik materyali sağlayabilir”.
İşverenlerin ve iş arayanların bu tür pozisyonlara mülakat yaparken veya başvururken uzaktan çalışmanın sonuçlarını dikkate almaları önemle tavsiye edilir.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.