Bulaşıcı röportajın arkasındaki Kuzey Kore tehdit aktörleri, kripto para birimi sektöründeki iş arayanları, Windows ve MacOS sistemlerinde daha önce belgelenmemiş GOlangghost adlı bir GO tabanlı arka kapı sunmak için giderek daha popüler olan ClickFix Sosyal Mühendislik taktiklerini benimsedi.
Kampanyanın devamı olarak değerlendirilen yeni etkinliğe kodlandı. Tıklama paketi görüşmesi Fransız Siber Güvenlik Şirketi Sekoia tarafından. Alınan Geliştirme, Dev#Popper ve ünlü Chollima olarak da izlenen bulaşıcı röportaj, en azından Aralık 2022’den beri aktif olduğu bilinmektedir, ancak 2023’ün sonlarında ilk kez kamuya açıklanmıştır.
Sekoia araştırmacıları Amaury G., Coline Chavane ve Felix Aimé, çabayı Kore’ye (rgb) atfedilen, Kore (RGB), Kore’nin (rgb) atfedilen meşhur Lazarus Grubu’na atfeterek, “ClickFix taktikinden yararlanmak ve Windows ve MacOS backdoors yüklemek için meşru iş görüşmesi web sitelerini kullanıyor.
Kampanyanın dikkate değer bir yönü, öncelikle Coinbase, Kucoin, Kraken, Circle, menkul kıymetleştirme, blockfi, tether, robinhood ve Bybit gibi şirketleri taklit ederek merkezi finans varlıklarını hedeflemesidir, hack grubunun haksız finansman (defi) varlıklarına karşı saldırılarından bir ayrılış işaret eder.
Operasyon Dream Job gibi bulaşıcı röportaj, sahte iş tekliflerini potansiyel hedefleri çekmek ve bunları kripto para birimi ve diğer hassas verileri çalabilecek kötü amaçlı yazılımları indirmeye çalıştırıyor.
Çabaların bir parçası olarak, adaylara LinkedIn veya X aracılığıyla bir video görüşmesi görüşmesine hazırlanmak için yaklaşılır ve bunun için kötü amaçlı bir video konferans yazılımı veya enfeksiyon sürecini etkinleştiren açık kaynaklı proje indirmeleri istenir.
Lazarus Group’un ClickFix taktiğini kullanması ilk olarak güvenlik araştırmacısı Taylor Monahan tarafından 2024 yılı sonuna doğru açıklandı ve saldırı zincirleri, daha sonra Golang arka kapısını sağlayan Ferret adlı bir kötü amaçlı yazılım ailesinin konuşlandırılmasına yol açtı.
Kampanyanın bu yinelemesinde, kurbanlardan Willo adlı iddia edilen bir video görüşme hizmetini ziyaret etmeleri ve kendilerinin video değerlendirmesini tamamlamaları istenir.
Sekoia, “Kullanıcı güveni oluşturmak için titizlikle tasarlanan tüm kurulum, kullanıcıdan kameralarını etkinleştirmesi istenene kadar sorunsuz bir şekilde ilerliyor.” “Bu noktada, kullanıcının sorunu çözmek için bir sürücü indirmesi gerektiğini gösteren bir hata mesajı görünür.
Kameraya veya mikrofona erişim sağlamak için kurbana verilen talimatlar, kullanılan işletim sistemine bağlı olarak değişir. Windows’ta, hedeflerden komut istemini açması ve bir Visual Basic betiği (VBS) dosyasını yürütmek için bir curl komutu yürütmesi istenir, bu da GoLangghost’u çalıştırmak için bir toplu komut dosyası başlatır.
Kurbanın bir macOS makinesinden siteyi ziyaret etmesi durumunda, benzer şekilde terminal uygulamasını başlatmaları ve bir kabuk komut dosyası çalıştırmak için bir curl komutu çalıştırmaları istenir. Kötü niyetli kabuk komut dosyası, kendi adına, FrostyFerret (aka ChromeUpdatealert) ve arka kapı olarak adlandırılan bir stealer modülünü yürüten ikinci bir kabuk komut dosyası çalıştırır.
FrostyFerret, Chrome Web tarayıcının kullanıcının kamerasına veya mikrofonuna erişmesi gerektiğini belirten sahte bir pencere görüntüler, daha sonra sistem şifresini girme istemi görüntüler. Girilen bilgiler, geçerli veya başka türlü olup olmadığına bakılmaksızın, bir Dropbox konumuna eklenir, muhtemelen çalınan şifreyi kullanarak iCloud anahtarçasına erişme girişimini gösterir.
Golangghost, uzaktan kumanda ve veri hırsızlığını kolaylaştırmak için tasarlanmıştır.
Sekia, “Tüm pozisyonların yazılım geliştirmedeki teknik profillerle ilişkili olmadığı bulundu.” “Bunlar esas olarak iş geliştirme, varlık yönetimi, ürün geliştirme veya merkezi olmayan finans uzmanlarına odaklanan yönetici işleridir.”
“Bu, DPRK-Nexus tehdit aktörlerine atfedilen ve esas olarak geliştiricileri ve yazılım mühendislerini hedefleyen sahte iş görüşmelerine dayanan önceki belgelenmiş kampanyalardan önemli bir değişiklik.”
Kuzey Kore BT İşçi Planı Avrupa’da aktif hale geliyor
Gelişme, Google Tehdit İstihbarat Grubu’nun (GTIG), Avrupa’daki hileli BT işçisi planında bir artış gözlemlediğini ve faaliyetlerinin ABD’nin ötesindeki önemli bir genişlemesinin altını çizdiğini söyledi.
BT işçi faaliyeti, şirketlere sızmak ve Pyongyang için uluslararası yaptırımları ihlal etmek için yasadışı gelir elde etmek için meşru uzaktan işçi olarak poz veren Kuzey Koreli vatandaşları gerektirir.
ABD Adalet Bakanlığı iddianameleri ile birleştiğinde, faaliyetin artan farkındalığı, “BT işçi operasyonlarının küresel olarak genişlemesini” teşvik etti ve Google, BT’nin Almanya ve Portekiz’de bulunan çeşitli kuruluşlarda istihdam arayan birkaç uyumlu kişiyi ortaya çıkardığını belirtti.
BT işçileri, Birleşik Krallık’ta web geliştirme, bot geliştirme, içerik yönetim sistemi (CMS) gelişimi ve blockchain teknolojisi ile ilgili çeşitli projeler üstlenerek, genellikle kimliklerini tahrif eder ve İtalya, Japonya, Malezya, Singapur, Ukrayna, ABD ve Vietnam’dan geldiğini iddia eder.
Vietnamlı, Japon ve Singapur vatandaşları olarak poz veren BT işçilerinin bu taktiği, geçen ayın başlarında yönetilen istihbarat firması Nisos tarafından vurgulanırken, yeni kişiler oymak veya yenilerini güçlendirmek için eski kişilerden portföy içeriğini geri dönüştürmek için GitHub kullanımlarını gösterdi.
GTIG Avrupa’nın Tehdit İstihbarat Danışmanı Jamie Collier, “Avrupa’daki BT işçileri, Upwork, Telegram ve Freelancer dahil olmak üzere çeşitli çevrimiçi platformlar aracılığıyla işe alındı.” Dedi. “Hizmetleri için ödeme kripto para birimi, Transferwise Hizmet ve Payoneer yoluyla kolaylaştırıldı ve fonların kökenini ve varış noktasını gizleyen yöntemlerin kullanımını vurguladı.”
Yerden iş işlerine yardımcı olmak için yerel kolaylaştırıcıları kullanmanın yanı sıra, içeriden gelen tehdit operasyonu, Ekim 2024’ten bu yana, bu işçilerin mülkiyet verilerini serbest bırakmalarını veya bir rakibe sunmalarını önlemek için işverenlerinden fidye ödemelerine başvurdukları kamu bilgisi haline geldiğinde, gasp denemelerinde bir artış gibi görünen şeye tanıklık ediyor.
Programın başka bir evrimi gibi görünen bir şeyde, BT çalışanlarının, bu tür cihazların işletme ortamlarında kullanılan geleneksel güvenlik ve günlüğe kaydetme araçlarına sahip olması muhtemel olmaması nedeniyle kendi cihazınızı (BYOD) politikanızı işleten şirketleri hedefledikleri söyleniyor.
Collier, “Avrupa’nın hızlı uyanması gerekiyor. BT işçi operasyonlarının artı işaretlerinde olmasına rağmen, çok fazla ABD sorun olarak algılıyor. Kuzey Kore’nin son değişimleri muhtemelen ABD operasyonel engellerinden kaynaklanıyor ve işçilerin çevikliğini ve değişen koşullara uyum sağlama yeteneğini gösteriyor.” Dedi.
“On yıllık çeşitli siber saldırılar, Kuzey Kore’nin hızlı hedefleme ve fidye yazılımlarından kripto para birimi hırsızlığı ve tedarik zinciri uzlaşmasına kadar son artışından önce geliyor. Bu acımasız inovasyon, rejimi siber operasyonlar yoluyla finanse etmek için uzun süredir devam eden bir taahhüt gösteriyor.”