Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantısı olan bir tehdit aktörünün, Apple macOS cihazlarına bulaşabilecek çok aşamalı bir kötü amaçlı yazılımla kripto para birimiyle ilgili işletmeleri hedef aldığı gözlemlendi.
Kampanyanın adını taşıyan siber güvenlik şirketi SentinelOne Gizli Riskbunu büyük bir güvenle daha önce RustBucket, KANDYKORN, ObjCShellz, RustDoor (diğer adıyla Thiefbucket) ve TodoSwift gibi kötü amaçlı yazılım aileleriyle bağlantılı olan BlueNoroff’a bağladı.
Araştırmacılar Raffaele Sabato, Phil Stokes ve Tom Hegel, The Hacker News ile paylaşılan bir raporda, faaliyetin “PDF dosyası olarak gizlenen kötü amaçlı bir uygulama yoluyla hedeflere bulaşmak için kripto para birimi eğilimleri hakkında sahte haberler yayan e-postaları kullandığını” söyledi.
“Kampanya muhtemelen Temmuz 2024 gibi erken bir tarihte başladı ve sahte haber başlıkları veya kriptoyla ilgili konularla ilgili hikayeler içeren e-posta ve PDF tuzaklarını kullanıyor.”
ABD Federal Soruşturma Bürosu’nun (FBI) Eylül 2024 tarihli bir danışma belgesinde açıklandığı gibi, bu kampanyalar, merkezi olmayan finans (DeFi) ve kripto para birimi sektörlerinde çalışan çalışanları hedef alan “son derece özel, tespit edilmesi zor sosyal mühendislik” saldırılarının bir parçasıdır. .
Saldırılar, kötü amaçlı yazılım dağıtmadan önce güven oluşturmak için hedefleriyle uzun süre etkileşim kurarak sahte iş fırsatları veya kurumsal yatırım biçimini alıyor.
SentinelOne, Ekim 2024’ün sonlarında kriptoyla ilgili bir sektörde, delphidigital’de barındırılan bir PDF dosyasını (“Bitcoin Price.app’in Yeni Dalgalanmasının Arkasındaki Gizli Risk”) taklit eden bir damlalık uygulaması sunan bir e-posta kimlik avı girişimi gözlemlediğini söyledi.[.]org.
Swift programlama dilinde yazılan uygulamanın 19 Ekim 2024 tarihinde Apple geliştirici kimliği “Avantis Regtech Private Limited (2S8XHJ7948)” ile imzalanıp noter tasdikli olduğu tespit edildi. İmza daha sonra iPhone üreticisi tarafından iptal edildi.
Uygulama başlatıldığında, Google Drive’dan alınan sahte bir PDF dosyasını indirip kurbana görüntülerken, uzak bir sunucudan gizlice ikinci aşama yürütülebilir dosyayı alıp çalıştırıyor. Mach-O x86-64 yürütülebilir dosyası, C++ tabanlı imzasız ikili dosya, uzaktan komutları yürütmek için bir arka kapı görevi görür.
Arka kapı aynı zamanda zshenv yapılandırma dosyasını kötüye kullanan yeni bir kalıcılık mekanizması da içeriyor; bu, tekniğin kötü amaçlı yazılım yazarları tarafından ilk kez kötüye kullanıldığı anlamına geliyor.
Araştırmacılar, “Apple, macOS 13 Ventura’dan itibaren arka planda Oturum Açma Öğeleri için kullanıcı bildirimlerini uygulamaya koyduğundan beri, macOS’un modern sürümleri için özel bir değer taşıyor” dedi.
“Apple’ın bildirimi, özellikle sıklıkla kötüye kullanılan LaunchAgent’lar ve LaunchDaemon’lar olmak üzere bir kalıcılık yöntemi yüklendiğinde kullanıcıları uyarmayı amaçlıyor. Ancak Zshenv’in kötüye kullanılması, macOS’un mevcut sürümlerinde böyle bir bildirimi tetiklemiyor.”
Tehdit aktörünün aynı zamanda kripto para birimi, Web3 ve yatırımlarla ilgili temalara odaklanan bir altyapı oluşturmak için alan adı kayıt şirketi Namecheap’i kullandığı da gözlemlendi. Quickpacket, Routerhosting ve Hostwinds en sık kullanılan barındırma sağlayıcıları arasındadır.
Saldırı zincirinin, Kandji’nin Ağustos 2024’te vurguladığı ve TodoSwift’i dağıtmak için benzer şekilde adlandırılan “Bitcoin’in fiyat düşüşü için risk faktörleri ortaya çıkıyor(2024).app” adlı bir macOS dropper uygulamasını kullanan önceki bir kampanyayla bir düzeyde örtüşmeyi paylaştığını belirtmekte fayda var. .
Tehdit aktörlerini taktiklerini değiştirmeye iten şeyin ne olduğu ve bunun kamuya açık raporlara yanıt olup olmadığı açık değil. Stokes, The Hacker News’e şunları söyledi: “Kuzey Koreli aktörler yaratıcılıkları, uyum sağlamaları ve faaliyetlerine ilişkin raporların farkında olmaları ile tanınıyor; bu nedenle onların saldırgan siber programlarından farklı başarılı yöntemlerin ortaya çıktığını görmemiz tamamen mümkün.”
Kampanyanın endişe verici bir başka yönü de BlueNoroff’un geçerli Apple geliştirici hesaplarını ele geçirme veya ele geçirme ve bunları, kötü amaçlı yazılımlarının Apple tarafından noter tasdiki için kullanılması yeteneğidir.
Araştırmacılar, “Son 12 ay boyunca, Kuzey Koreli siber aktörler, kripto ile ilgili endüstrilere karşı bir dizi kampanya yürüttüler ve bunların çoğu, sosyal medya aracılığıyla hedeflerin kapsamlı bir şekilde ‘tedavi edilmesini’ içeriyordu” dedi.
“Gizli Risk kampanyası, daha geleneksel ve daha kaba, ancak daha az etkili olmasa da, e-posta kimlik avı yaklaşımını benimseyerek bu stratejiden uzaklaşıyor. İlk enfeksiyon yönteminin körlüğüne rağmen, önceki Kuzey Kore destekli kampanyaların diğer özellikleri de ortada.”
Bu gelişme aynı zamanda Kuzey Koreli bilgisayar korsanlarının Batı’daki çeşitli şirketlerde iş aramak ve bubi tuzaklı kod tabanları ve konferans araçlarını kullanarak bir işe alım mücadelesi veya görev kisvesi altında potansiyel iş arayanlara kötü amaçlı yazılım dağıtmak için düzenlediği diğer kampanyaların bir parçası olarak da ortaya çıkıyor.
Wagemole (diğer adıyla UNC5267) ve Bulaşıcı Röportaj olarak adlandırılan iki izinsiz giriş seti, Ünlü Chollima (diğer adıyla CL-STA-0240 ve Tenacious Pungsan) olarak takip edilen bir tehdit grubuna atfedildi.
Contagious Interview’e DeceptiveDevelopment adını veren ESET, onu, kripto para birimi hırsızlığı amacıyla dünya çapındaki serbest geliştiricileri hedeflemeye odaklanan yeni bir Lazarus Group faaliyet kümesi olarak sınıflandırdı.
Zscaler ThreatLabz araştırmacısı Seongsu Park bu haftanın başında yaptığı açıklamada, “Bulaşıcı Röportaj ve Wagemole kampanyaları, Kuzey Koreli tehdit aktörlerinin veri çalmaya, Batı ülkelerinde uzaktan işler bulmaya ve mali yaptırımları aşmaya devam ederken gelişen taktiklerini sergiliyor.” dedi.
“Gelişmiş gizleme teknikleri, çoklu platform uyumluluğu ve yaygın veri hırsızlığıyla bu kampanyalar, hem işletmeler hem de bireyler için giderek artan bir tehdit oluşturuyor.”