Son aylarda, sofistike bir tehdit oyuncusu kaldırıyor Kuzey Koreli BT İşçi İstihdam Sahtekarlığı Sosyal mühendisliğin geleneksel güvenlik kontrollerini nasıl atlayabileceğini gösteren ortaya çıktı.
Düşman’ın modus operandi, uzaktan yazılım mühendisleri olarak poz vermeyi, meşru görünümlü özgeçmişler göndermeyi, kodlama değerlendirmelerini tamamlamayı ve nihayetinde kurumsal ortamlara karışmayı içerir.
İlk işaretler ince idi: iyi huylu e -postalar, orijinal kod gönderimleri ve hemen alarm vermeyen standart işe alım iletişimi.
Kampanyanın başlarında, “Kyle Lankford” adlı takma adını kullanan bir aday, büyük bir ABD sağlık hizmeti sağlayıcısında ana yazılım mühendisi rolü için başvurdu.
İşe alım süreci normal olarak ilerledi, tüm etkileşimler Gmail ve CodeSignal gibi ortak platformlardan geçti. Kötü amaçlı URL’ler paylaşılmadı ve kötü amaçlı yazılımlara bağlı ekler ortaya çıkmadı.
Trellix analistleri, bu iletişimde teknik anomalilerin tamamen bulunmamasının, saldırganın uç nokta savunmalarını tetiklemeden kuruluşun ağına daha derin ilerlemesini sağladığını belirtti.
Kodlama değerlendirmesini 16 Temmuz 2025’te tamamladıktan sonra, başvuran 4 Ağustos’ta kibar bir takip e-postası gönderdi. Açık bir görüşte gizlenmiş, mesajın olağandışı başlıkları veya ekleri içermemiştir:-
From: Kyle Lankford <[email protected]>
To: [email protected]
Subject: Re: CodeSignal Assessment—Principal Software Engineer
Date: Mon, 4 Aug 2025 09:19:34 -0400
Hi [Recruiter Name],
I hope you had a great weekend. I wanted to follow up regarding the Principal Software Engineer position.
I completed the CodeSignal assessment on 7/16 and was wondering if there are any updates or next steps.
I look forward to hearing from you.
Thank you,
KyleE-postaların zararsız doğasına rağmen, Trellix araştırmacıları kampanyayı açık kaynaklı zeka tarafından yönlendirilen proaktif bir tehdit avı sırasında belirlediler.
Güvenlik ekibi, DPRK tarafından işletilen hesaplara bağlı 1.400’den fazla e-posta adresini dahili e-posta telemetri ile ilişkilendirerek, birden fazla risk göstergesine uygun bir hesap tespit etti.
Daha ileri analizler, iş başvuru sahibinin dahili sistemlere ve hassas veri depolarına erişim sağlayarak meşru kurumsal kimlik bilgileri oluşturduğunu doğruladı.
Enfeksiyon Mekanizması: Kimlik Bilgisi Tabanlı Ağ Sızma
Kötü niyetli yüklere dayanan geleneksel kötü amaçlı yazılım kampanyalarının aksine, bu tehdit oyuncusu kullanıyor Kimlik Bilgisi Tabanlı Sızma bir dayanak oluşturmak için.
İpticanın kurumsal hesabı sağlandıktan sonra, saldırgan, ağı keşfetmek için Secure Shell (SSH) ve Uzak Masaüstü Protokolü (RDP) gibi standart uzaktan erişim protokolleri kullandı.
Meşru idari araçları kullanarak, dizin yapılarını, erişilebilir depolarda depolanan hasat hizmet hesabı kimlik bilgilerini ve herhangi bir tespit edilebilir kötü amaçlı yazılım dağıtmadan hassas proje dosyalarını söndürdüler.
.webp)
Bu yaklaşım sadece imzaya dayalı tespit etmekle kalmaz, aynı zamanda çevre içindeki mevcut güven ilişkilerini de kullanır, bu da saldırganı gerçek bir çalışandan ayırt etmeyi son derece zorlaştırır.
Kuruluşun işe alım süreçlerinden yararlanarak, düşman çevre savunmalarını ve içeriden tehdit izlemesini atladı.
Bu dava, entegre olmanın gerekliliğinin altını çiziyor davranışsal analitiksürekli kimlik validasyonu ve titiz arka plan, bu tür kötü amaçlı yazılım dışı atakları azaltmak için güvenlik iş akışlarını kontrol eder.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
