Kuzey Kore’nin Lazarus tehdit grubu, iş bulma platformlarında işe alım taktiklerini kullanarak yazılım geliştiricilerini hedef alan yeni bir saldırı dalgası başlattı. Grup bu sefer iş ilanlarını kullanıyor LinkedIn serbest çalışan geliştiricileri özellikle kötü amaçlı Git depolarını indirmeye teşvik etmek; bunlar kaynak kodunu, kripto para birimini ve diğer hassas verileri çalmaya yönelik kötü amaçlı yazılım içerir.
Araştırmacılar, SecurityScorecard STRIKE ekibinin 9 Ocak’ta, saldırganların geliştiricileri proje testleri veya kod incelemeleriyle ikna etmek için işe alım görevlisi gibi davrandığı Operasyon 99 olarak adlandırılan devam eden saldırıyı keşfettiğini açıkladı. bir rapor (PDF) bugün yayınlandı.
“Kurbanlar kötü niyetli kişileri klonlamak için kandırılıyor Git depoları gönderiye göre, bir komut ve kontrol (C2) sunucusuna bağlanan ve bir dizi veri çalma implantasyonunu başlatan cihazlar.
Saldırganlar, farklı hedeflere uyum sağlayan modüler bileşenlere sahip katmanlı bir kötü amaçlı yazılım dağıtım sistemi kullanarak, kampanyada Windows, macOS ve Linux’ta çalışan çeşitli yükleri kullanıyor. Main99 gibi indiriciler, Keylogging, pano izleme, geliştirme ortamlarından dosya sızması ve tarayıcı kimlik bilgileri hırsızlığı gibi görevleri gerçekleştiren Payload 99/73, brow99/73 ve MCLIP’i içeren yükleri alır ve yürütür.
Araştırmacılara göre kötü amaçlı yazılım aynı zamanda uygulama kaynak kodundan, sırlardan ve yapılandırma dosyalarından ve cüzdan anahtarları ve anımsatıcılar gibi kripto para birimiyle ilgili varlıklardan da çalıyor. İkincisi, Lazarus’un Kuzey Kore lideri Kim Jong Un rejimini finanse etme hedeflerini ilerleterek doğrudan mali hırsızlığı kolaylaştırmak için kullanılıyor.
Rapora göre, “Saldırganlar, kötü amaçlı yazılımı geliştirici iş akışlarına yerleştirerek yalnızca bireysel kurbanları değil aynı zamanda katkıda bulundukları proje ve sistemleri de tehlikeye atmayı amaçlıyor.”
Kuzey Kore’nin Geliştiricileri Hedefleme Tarihi
Kampanya, grubun 2021’dekiler de dahil olmak üzere çeşitli kötü amaçlı yazılımlara sahip geliştiricileri hedeflemeye yönelik önceki taktiklerini temel alıyor. Rüya İşi OperasyonuGrubun belirli kurumsal hedeflere sahte iş teklifleri gönderdiği. Açıldığında bilgi toplamak ve saldırganlara geri göndermek için Truva atı programları yüklediler.
Lazarus’un uzun tarih Mağdurları hedef almak için teknolojik iş piyasasını kullanma girişimi başka bir kampanyayı da içeriyor DEV#POPPER olarak adlandırıldı, Saldırganların var olmayan işler için işe alım görevlisi gibi davranmasını sağlayarak dünya çapındaki yazılım geliştiricilerini veri hırsızlığı için hedef aldı.
Kuzey Koreli tehdit grupları da durumu tersine çevirdi ve siber casusluk amacıyla küresel kuruluşlara sızmak için kendi siber casuslarını kullandı. Güvenlik firması KnowBe4’ün artık kötü şöhrete sahip vakası yanlışlıkla işe almak Kuzey Koreli bir hacker ne kadar ikna edici olduğunu gösteriyor bu kampanyalar olabilir.
Adalet Bakanlığı’nın mayıs ayındaki operasyonu sırasında bozuldu Kuzey Kore’nin, devlet destekli aktörlerin sahte serbest çalışan kimlikleri oluşturmalarına ve yaptırımlardan kaçmalarına yardım etmekle suçlanan birkaç kişiyle ilgili yaygın BT serbest çalışması, son kampanya, Lazarus’un yılmadan kaldığını gösteriyor.
Araştırmacılar, tüm bunların ortasında yeni kampanyanın taktiklerde bir evrim gösterdiğini söyledi.
SecurityScorecard’ın tehdit araştırması ve istihbaratından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, “Bu örnekte Lazarus, önceki kampanyalara kıyasla daha yüksek düzeyde karmaşıklık ve odaklanma gösteriyor” diyor. Bunların arasında yapay zeka tarafından oluşturulan profillerin son derece özgün ve gerçekçi görünen işe alım uzmanları gibi görünmek için kullanılması ve “kurbanların etkili bir şekilde kandırılmasına olanak sağlanması” da yer alıyor, diye ekliyor.
Sherstobitoff, “Tam ve ikna edici profiller sunarak geliştiricilere gerçek gibi görünen iş fırsatları sunuyorlar” diyor. Bazı durumlarda Lazarus, güvenilirliklerini artırmak için mevcut LinkedIn hesaplarından ödün bile verdiğini ekliyor.
Sherstobitoff, grubun aynı zamanda gizleme ve şifreleme için daha gelişmiş teknikler kullandığını ve bu sayede kötü niyetli etkinliklerin tespit edilmesini ve analiz edilmesini önemli ölçüde zorlaştırdığını söylüyor.
İş Arayanlar, Dikkatli Olun
Sherstobitoff, aslında, bu kampanyalar yapay zeka ve gelişmiş sosyal mühendislik kullanımı yoluyla daha karmaşık hale geldikçe, “saldırganların hedeflerinin güvenini kazanmasının daha kolay hale geldiğini, bu da kampanyalarındaki hassasiyet ve gerçekçilik düzeyinde önemli bir gelişme olduğunu gösteriyor” diyor. .
Bu nedenle, azaltma stratejilerinin “temel olarak sosyal mühendislik farkındalığını güçlendirmeye ve sıradan çalışanlar için siber güvenliğin temellerine bağlı kalmaya odaklanması gerektiğini” söylüyor. Sherstobitoff, genel bir kural olarak, eğer bir iş teklifi veya fırsatı gerçek olamayacak kadar iyi görünüyorsa, muhtemelen öyledir ve “şüphecilikle yaklaşılmalıdır” diyor.
“Çalışanların, özellikle LinkedIn veya e-posta gibi platformlar üzerinden dosya indirmeleri, depoları klonlamaları veya tanıdık olmayan yazılımlarla etkileşimde bulunmaları istendiğinde, işe alım görevlileriyle etkileşimde bulunurken son derece dikkatli olmaları gerektiğini” söylüyor. “Bu kanallar, meşru varlıklar gibi davranan saldırganlar tarafından kolaylıkla manipüle edilebilir.”