Toplantı uygulamaları, çoğunlukla iletişim ve işbirliği için kullanıldıkları, hassas verileri ve geniş kullanıcı gruplarını taşıdıkları için bilgisayar korsanları tarafından sıklıkla hedef alınıyor ve birer silaha dönüştürülüyor.
Bu tür platformlar, yaygınlıkları ve yüksek kabul seviyeleri nedeniyle kullanıcıları arasında güven kazanmakta ve bilgisayar korsanlarının bu tür faktörlerden yararlanarak kötü amaçlı yazılım yaymalarına, bilgi çalmalarına, konuşmaları dinlemelerine ve hatta çeşitli kuruluşlara girmelerine olanak tanımaktadır.
Objective-See’deki siber güvenlik analistleri (Patrick Wardle), Kuzey Koreli bilgisayar korsanlarının macOS kullanıcılarını hedef almak için Miro Talk adlı bir toplantı uygulamasını aktif olarak silahlandırdığını keşfetti.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Bunun yanı sıra malwarehunterteam ekibi bu yeni Mac zararlı yazılımı hakkında tweet attı.
Silahlandırılmış Toplantı Uygulaması
VirusTotal’ın AV motorları tarafından tespit edilemeyen kötü amaçlı bir disk görüntüsü (MiroTalk.dmg), yeteneklerini ve Kuzey Kore (DPRK) niteliğini ortaya çıkarmak için analiz edildi.
Muhtemelen iş ile ilgili bir kimlik avı kampanyasının parçası olan kötü amaçlı yazılım, meşru Miro Talk sitesinin bir klonunda barındırıldı. Bu taktik, iş arayanlar gibi davranarak kurbanları hedef alan bilinen DPRK hacker yöntemleriyle örtüşüyor.
Analiz, BlockBlock ve LuLu gibi açık kaynaklı araçların bu tür tehditlerle mücadelede nasıl yardımcı olabileceğini ortaya koyuyor.
Kötü amaçlı yazılımın, Palo Alto Network’ün Unit42 adlı kuruluşu tarafından daha önce belgelenen bir Kuzey Kore saldırısıyla bağlantısı, Kuzey Kore siber operasyonlarında gelişen bir stratejiye işaret ediyor.
MiroTalk.dmg dosyasının analiz sonucu, VirusTotal tarafından tespit edilemeyen Jami adlı imzasız 64-bit Intel Mach-O çalıştırılabilir dosyasıdır.
İçerisine yerleştirilmiş semboller ve dizeler, bunun 95.164.17.24:1224 adresindeki olası bir C2 sunucusuyla sızdırma, indirme ve yürütme için kullanılabileceğini düşündürmektedir.
Kötü amaçlı yazılım ayrıca kripto cüzdan tarayıcı uzantılarını, tarayıcı verilerini ve macOS anahtar zincirini de hedef alabilir.
Muhtemelen platformlar arası (Qt/QMake) olacak, Python’da yazılmış olacak ve kötü amaçlı Python betikleri içerecek.
setBaseBrowserUrl gibi yürütülebilir dosyanın yöntemleri, karmaşık veri toplama ve sızdırma yeteneklerini gösteren hassas tarayıcı yollarına doğrudan başvurur.
Jami çalıştırılabilir dosyası, kullanıcının anahtar zincirine erişmeye ve hassas tarayıcı verilerini bir C2 sunucusuna (95.164.17.24:1224) çalmaya çalışan bir kötü amaçlı yazılımdır.
İlk sızma girişimleri başarısız olsa da kötü amaçlı yazılım API uç noktaları, daha önce Kuzey Koreli bilgisayar korsanlarıyla bağlantısı bulunan BeaverTail’in uç noktalarına benziyor.
Bu, JavaScript tabanlı tehditlerden, kripto para cüzdanları gibi benzer hedeflere sahip yerel QT varyasyonlarına geçiş anlamına geliyor.
DPRK bağlantılı C2 sunucusu ayrıca Python indiricisi olan client/5346 ve platformlar arası bir arka kapı olan InvisibleFerret gibi diğer yükleri de barındırıyor.
Bulgular, bu yeni kötü amaçlı yazılım türünü, Kuzey Kore’nin siber yeteneklerinin giderek olgunlaştığını gösteren BeaverTail’in daha önceki kampanyasıyla ilişkilendiriyor.
MiroTalk adı altında incelenen kötü amaçlı yazılımın, BeaverTail’in yeni bir yerel çeşidi olduğu belirtildi.
Bu yeni varyant, bilgileri çalabilme ve InvisibleFerret gibi Python tabanlı ek yükleri çalıştırabilme yeteneğine sahip.
Bu, MiroTalk.dmg dosyası (SHA-256: 0F5F0A3AC843DF675168F82021C24180EA22F764F87F82F9F77FE8F0BA0B7132) C2 sunucusu (95.164.17.24) gibi önemli IoC’lerin gösterdiği gibi, DPRK siber yetenek gelişiminin kanıtıdır.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.