Bulaşıcı Röportaj ve WageMole kampanyalarının arkasındaki Kuzey Koreli tehdit aktörleri, tespit edilmekten kaçınmak için senaryolarının karartılmasını geliştirerek taktiklerini geliştirdi.
InvisibleFerret artık dinamik bir RMM yapılandırmasına ve işletim sistemine özgü kalıcılık mekanizmalarına sahipken Contagious Interview, daha geniş bir kurban havuzunu hedefleyerek cephaneliğini macOS uygulamalarıyla genişletti.
Bu saldırılar 100’den fazla cihazı tehlikeye atarak kaynak kodu, kripto para cüzdanları ve kişisel bilgiler gibi hassas verilerin çalınmasına yol açtı.
Bu bilgiler, Batı ülkelerinde üretken yapay zekanın kolaylaştırdığı sahte kimlikler oluşturmak ve uzaktan istihdamı güvence altına almak için kullanılıyor.
.webp)
Bulaşıcı Mülakat kampanyası, geliştiricileri, saldırganların Freelancer gibi platformlarda işe alım görevlisi gibi davranarak sahte iş fırsatları sunduğu kötü niyetli faaliyetlere çekmek için sosyal mühendislik taktiklerinden yararlanarak gelişmeye devam ediyor.
Şirket içi bir SOC oluşturun veya Hizmet Olarak SOC’yi dış kaynak olarak kullanın -> Maliyetleri Hesaplayın
Başvuru sahipleri etkileşime girdikten sonra, saldırganlar tarafından kontrol edilen ve ilk enfeksiyon vektörü olarak hizmet veren, kötü amaçlı JavaScript kodu içeren GitHub depolarına yönlendiriliyorlar.
Tehdit aktörleri, erişimlerini en üst düzeye çıkarmak için sosyal medyadaki geliştiricileri aktif olarak hedef alıyor ve kötü amaçlı dosyaları dağıtmak için GitHub, GitLab ve BitBucket gibi popüler kaynak kodu barındırma platformlarından yararlanıyor.
Başlangıçta kötü amaçlı NPM paketleri aracılığıyla yayılan BeaverTail kötü amaçlı yazılımı, macOS uygulamaları ve Windows yükleyicileri gibi çeşitli dosya türlerini kullanacak şekilde gelişti ve ayrıca tespit edilmekten kaçınmak için JavaScript gizleme ve dinamik kod yürütme özelliğini de kullanıyor.
Sistem bilgilerini çalan ve kurban makinelerden hassas verileri sızdıran InvisibleFerret Python arka kapısını indirir ve çalıştırır. Bu, tehdit aktörünün sistemleri tehlikeye atmak için ısrarlı çabalarını gösteriyor.
Aktif olarak geliştirilmekte olan InvisibleFerret kötü amaçlı yazılımı, veri sızdırma yeteneklerini geliştirecek şekilde geliştirildi. Artık tarayıcı verilerini, kripto para cüzdanlarını ve şifre yöneticisi bilgilerini hedefliyor.
Sızdırılan veriler Telegram’a gönderilmeden veya belirli bir HTTP sunucusuna yüklenmeden önce sıkıştırılır ve şifrelenir.
Kötü amaçlı yazılım, AnyDesk istemcilerini çalıştırmak ve kalıcı başlangıç komut dosyaları oluşturmak için entegre işlevlere sahiptir; potansiyel olarak tehlikeye giren sistemler üzerinde uzaktan erişime ve kontrole olanak sağlar.
.webp)
Bulaşıcı Röportaj kampanyası, kripto para birimi geliştiricilerini hedef alan bir siber casusluk kampanyasıdır. Çeşitli platformlara (Windows, Linux ve macOS) bulaşmak ve kripto para birimiyle ilgili dosyaları ve oturum açma kimlik bilgilerini çalmak için işletim sisteminden bağımsız komut dosyalarından (JavaScript ve Python) yararlanır.
Kuzey Koreli olduğundan şüphelenilen bir tehdit grubu olan WageMole, web geliştiricisi veya mühendis gibi pozisyonlara başvurmak için otomasyonu kullanarak, LinkedIn ve diğer iş kurullarında sahte profiller oluşturarak şirket sistemlerine yetkisiz erişim elde etmek ve potansiyel olarak veri çalmak için uzaktan iş fırsatlarını hedefliyor.
.webp)
Skype üzerinden yapılan görüşmeler sırasında teknik uzmanlık konusunda meslektaşlarına güvenebilirler.
WageMole, işe alındıktan sonra veri çalmak veya kripto para transfer botları gibi araçlar geliştirmek için erişiminden yararlanıyor ve tespit edilmekten kaçınmak için çevrimiçi platformlar aracılığıyla ödeme talep ediyor.
Zscaler’a göre Kuzey Koreli tehdit aktörleri verileri çalmak, kuruluşlara sızmak ve yaptırımlardan kaçmak için karmaşık tekniklerden yararlanıyor.
Örneğin, Bulaşıcı Röportaj ve WageMole kampanyaları, gelişmiş gizleme, çoklu platform uyumluluğu ve yaygın veri hırsızlığı kullanıyor.
Kuruluşlar, bu tehditleri azaltmak için ağ etkinliğini şüpheli göstergelere karşı titizlikle izlemeli, sıkı güvenlik önlemleri almalı ve bilinmeyen kişilerle uğraşırken dikkatli olmalıdır.
Kapsamlı geçmiş kontrolleri, istihdam geçmişi doğrulaması ve yeni işe alınanlar için sınırlı başlangıç erişim ayrıcalıkları da hassas bilgilerin ve sistemlerin korunması açısından çok önemlidir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!