Kuzey Koreli Hackerlar Uzaktan İş Almak İçin Yeni Taktik Kullanıyor

   Kasım 7, 2024  Posted in CyberSecurityNews


Kuzey Koreli Hackerlar Uzaktan İş Almak İçin Yeni Taktik Kullanıyor

Bilgisayar korsanları, uzaktan çalışmaya geçişten kaynaklanan güvenlik açıklarından yararlanarak uzaktaki çalışanları giderek daha fazla hedef alıyor.

Kurumsal ağlara erişim sağlamak için “sesli kimlik avı” (vishing) gibi taktikler kullanıyorlar. BT personelinin kimliğine bürünüyorlar ve çalışanları sahte giriş sayfaları aracılığıyla hassas bilgiler sağlamaları için kandırıyorlar.

Hizmet Olarak SIEM

Zscaler araştırmacıları yakın zamanda Kuzey Koreli bilgisayar korsanlarının uzaktan işler edinmek için aktif olarak yeni taktikler kullandıklarını keşfetti.

Kuzey Koreli Hackerlar ve Uzaktan Çalışma

Kuzey Koreli siber tehdit aktörleri, Kasım 2023’te “Bulaşıcı Röportaj” ve “WageMole” olarak adlandırılan iki karmaşık kampanyayı yönetti. Bu iki kampanya uluslararası mali yaptırımlardan kurtulmak için tasarlandı.

Bulaşıcı Mülakat ve WageMole kampanyaları arasındaki ilişki (Kaynak – Zscaler)

“Bulaşıcı Röportaj” başlangıçta kurbanları Freelancer gibi platformlardaki sahte iş ilanları aracılığıyla “tam kapsamlı geliştiricileri”, “kripto para birimi uzmanlarını” ve “AI uzmanlarını” hedef almaya ikna etti.

Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar

Saldırganlar iki ana kötü amaçlı yazılım bileşenini kullandı:

  • Kunduz Kuyruğu: Gelişmiş gizleme teknikleri ve dinamik yükleme kullanan, JavaScript tabanlı bir kötü amaçlı yazılım.
  • Görünmez Gelincik: Keylogging yeteneklerine sahip Python tabanlı bir arka kapı.
BeaverTail ve InvisibleFerret enfeksiyon zinciri (Kaynak – Zscaler)

Bu araçlar, kötü amaçlı “NPM paketleri”, “Windows Yükleyicileri” ve sohbet yazılımı görünümündeki “macOS uygulamaları” aracılığıyla dağıtıldı.

Bir kurbandan veri çalmak için InvisibleFerret’i kullanan Bulaşıcı Röportaj kampanyası (Kaynak – Zscaler)

Ağustos 2024’te InvisibleFerret’in işlevselliği, “tarayıcı uzantılarını çalmak”, “kripto para cüzdanı verileri” ve “şifre yöneticisi bilgileri” için “ssh_zcp” komutunu içerecek şekilde genişletildi.

Tüm bu bilgiler “py7zr.SevenZipFile” (Windows için) veya “pyzipper.AESZipFile” (Windows olmayan sistemler için) kullanılarak AES şifrelemesi ile sıkıştırılır.

Kötü amaçlı yazılım, “FTP sunucuları” yerine “HTTP protokolleri” aracılığıyla veri sızdırmak için “/uploads URI’sini” kullandı ve ayrıca “AnyDesk” istemcilerini kurarak “uzaktan kontrol” elde etti.

Bu operasyonda, “Windows İşletim Sistemi” (%50), “Linux” ve “Mac” platformları arasında bölünmüş olan ve aşağıdakilere dayalı geliştiricileri hedefleyen “140” cihaz ihlal edildi: –

  • Hindistan
  • Pakistan
  • Kenya
  • Nijerya
  • İspanya
  • Rusya

Burada, çalınan kimlikler daha sonra “WageMole” kampanyası sırasında Batılı şirketlerin yaptırımlardan kaçınma stratejisini gerçekleştirmek amacıyla uzak pozisyonları taklit etmek ve güvence altına almak için kullanıldı.

WageMole kampanyasının operasyonel süreci aşamalar halinde düzenlenmiştir (Kaynak – Zscaler)

Bu operatörler, yapay zeka tarafından düzenlenen belgelerle dikkatli bir şekilde sahte yasal kimlikler oluşturuyor ve Spring Boot, React/Next.js, Laravel, Symfony, Node.js, TypeScript, WordPress ve ASP.NET gibi becerilere sahip tam yığın geliştiriciler olarak kapsamlı portföyler oluşturuyor. .

LinkedIn, Indeed, Glassdoor ve Upwork’te yer alarak GitHub hesaplarını tutarak ve Zscaler raporunu okuyarak geliştirme süreçlerini de yönettiler.

Bu tür depolar, özellikle kripto para birimleri ile ilgili projelerle ilgili olarak “D:\Work\Crypto\Crypo-backend\app” işin uygulanmasında hem ön hat hem de arka uç personelinin geliştirilmesine katıldıkları sistem modelindedir. ve “D:\Work\Crypto\Crypto-frontend.”

Röportajlar sırasında şüphe uyandırmak için React.JS, Flutter, Backend API hakkındaki teknik sorular için yapay zeka seslendirmesine başvuruyorlar ve hatta Agile/Scrum’un nasıl çalıştığını kapsamlı bir şekilde hazırlayıp belgeliyorlar.

Bu operatörlerin hedeflerinin “BT”, “Sağlık Hizmetleri”, “Perakende” ve “Finansal Hizmetler” gibi farklı sektörlerde faaliyet gösteren küçük ve orta ölçekli işletmeler olduğu ve görüşmeyi ABD’deymiş gibi yaparak Skype kullanarak gerçekleştirdikleri gözlemleniyor.

Kod parçacıklarını kendi aralarında paylaşıyorlar ve ödemenin Euro bankaları veya “Paypal/Payoneer” yoluyla geldiği görülüyor ve genellikle yıllık yaklaşık 48.000 Euro’dur, ancak tam zamanlı çalışıyorlarsa sözleşmeli saat başına 12 Euro’dur; bunların tümü, ödemeler nedeniyle mümkün olmaktadır. küresel yaptırımlardan kaçınmak için teknik becerilerine.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • IOC’lere bağlı yürütmeleri/bağlantıları izleyin.
  • Hassas verileri düz metin olarak kaydetmeyin.
  • Kişisel ayrıntıların güvenli olmayan şekilde saklanmasından kaçının.
  • Bilinmeyen kişilere karşı dikkatli olun.
  • Şüpheli dosyaları sanal ortamlarda çalıştırın.
  • IOC listesindeki e-postaları ve sosyal kişileri izleyin.
  • Adayların istihdam geçmişini doğrudan doğrulayın.
  • Deneme süresi boyunca yeni işe alınanların erişimini sınırlayın.
  • Kapsamlı geçmiş kontrolleri yapın.
  • Başvuru sahiplerinin çalışma yerlerini doğrulayın.
  • Dolandırıcılığı önlemek için kimlik belgelerini doğrulayın.

Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!



Source link