Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgisayar Korsanlarının Kötü Amaçlı Yazılım Sunmak için Arka Kapı Yazılım Kitaplıkları
Akşaya Asokan (asokan_akshaya) •
25 Ekim 2024
Güvenlik araştırmacıları, NPM yazılım kütüphanesinde arka kapılı yazılım paketleri buldu; bu, Kuzey Koreli bilgisayar korsanlarının sosyal mühendis kodlayıcılara bilgi hırsızları yükleme konusunda devam eden bir kampanyasının açık kanıtı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Datadog’daki güvenlik araştırmacıları, popüler kütüphaneleri taklit eden kötü amaçlı bir paket de dahil olmak üzere, popüler kütüphaneleri maskeleyen, adlarla dolu yazılım paketlerini ortaya çıkardı. passportExpress uygulamaları için popüler bir kimlik doğrulama çerçevesi sağlayan.
Datadog, daha yakından incelendiğinde, JavaScript bilgi hırsızları ve indiricilerinden oluşan bir aile olan BeaverTail kötü amaçlı yazılımının örneklerini içeren toplam 323 indirmeye sahip üç paket tespit ettiğini söyledi. Palo Alto Networks’ten araştırmacılar bu ayın başlarında BeaverTail’i, Pyongyang’daki tehdit aktörlerinin potansiyel adaylardan belirli yazılım paketleri yüklemelerini isteyen iş bulma görevlileri gibi davrandıkları devam eden bir Kuzey Kore kampanyasıyla ilişkilendirdi.
Datadog araştırmacıları, tehdit aktörünün NPM paketlerinde yer alan kötü amaçlı yazılımları gizlemek için kod gizleme teknikleri kullandığını söyledi. Sahte passports Pakette “anlamlı olanlar yerine rastgele tanımlayıcılar” kullanıldı, kod formatı kaldırıldı, “kodun yapısını karmaşıklaştıracak işe yaramaz işlemler” dahil edildi ve standart olmayan metin kodlamalarının veya şifrelemenin arkasına kod gizlendi.
BeaverTail, Unix ve Windows sistemlerindeki tarayıcı önbelleklerinde ve oturum açma anahtarlıklarında saklanan kredi kartı bilgilerinin yanı sıra kripto para birimi cüzdanlarını da hedefler.
Kuzey Koreli bilgisayar korsanlarının para çalmak ve teknoloji endüstrisini şantaj yapmak için tuhaf yöntemlerle dolu bir geçmişi var. Bu yıl, Hermit Kingdom kodlayıcılarının uzaktan kodlama pozisyonları elde etmelerine yardımcı olan Batılı işbirlikçilerin tutuklanmasına tanık olduk. Uzak bir Kuzey Koreliyi işe alma tehlikesi sadece özensiz kodlardan ibaret değildir; işçiler şirketlerden fidye almak için agresif bir yaklaşım benimsemiştir (bkz: Kuzey Koreli BT Dolandırıcılığı Çalışanları Gasp Taktiklerine Geçiyor).
Pazartesi günü Danimarkalı bir medya kuruluşu, artık faaliyet göstermeyen Danimarkalı elektrikli otomobil üreticisi Fisker’in Kuzey Koreli bir uzaktan çalışanı işe aldığını bildirdi. Şirket, ancak ABD’li yetkililer tarafından uyarıldıktan sonra durumdan haberdar oldu.
ETH Zürih’ten kıdemli siber araştırmacı Eugenio Benincasa, Kuzey Kore’nin iş veren-iş arayan madalyonun her iki tarafını da oynama yeteneğinin, Pyongyang’ın nükleer silah programına sürekli para akışını sağlamak için uluslararası yaptırımlardan nasıl kaçtığının bir başka örneği olduğunu söyledi.
“Bu operasyonların karmaşıklığı yeni değil” dedi. Benincasa, “Bu hedef odaklı kimlik avı biçimi, muhtemelen klasik kimlik avı e-postalarından daha fazla öne çıkıyor ve insanların LinkedIn ve sosyal medyada paylaştığı, özel yem için hassas profil oluşturmaya olanak tanıyan kapsamlı açık kaynaklı istihbarattan yararlanıyor.” diye ekledi.
Chainalytics ulusal güvenlik istihbarat başkanı Andrew Fierman da iş piyasasına yönelik saldırıların Kuzey Koreli bilgisayar korsanlarının değişen teknoloji ortamına uyum sağlama yeteneğinin örnekleri olduğunu söyledi.
“Taktiklerdeki bu adaptasyon, hedeflerine ulaşmak için dijital ortamdaki yeni güvenlik açıklarından yararlanma yeteneklerini ve istekliliklerini gösteriyor. Bilgi hırsızlarından çalınan veriler, fonları hortumlamak için karmaşık yöntemler kullanmanın tarihsel modeliyle uyumlu olarak finansal hesaplara ve kripto para cüzdanlarına erişmek için kullanılabilir. ” dedi Fierman.