Kuzey Koreli tehdit aktörleri Bulaşıcı röportaj Kampanya, web tarayıcılarından ve diğer dosyalardan kimlik bilgilerini çalmak için yetenekleri olan Ottercookie adlı platformlar arası bir kötü amaçlı yazılımın güncellenmiş sürümleri kullanılarak gözlemlenmiştir.
Yeni bulguları detaylandıran NTT Security Holdings, saldırganların “aktif ve sürekli olarak” kötü amaçlı yazılımları güncellediğini ve V3 ve V4 sürümlerini Şubat ve Nisan 2025’te tanıttığını söyledi.
Japon Siber Güvenlik Şirketi, kümeyi adı altında izliyor Su pistiCL-Sta-0240, Alınan Geliştirme, Dev#Popper, Ünlü Chollima, Purplebravo ve inatçı Pungsan olarak da bilinen.
Ottercookie ilk olarak NTT tarafından geçen yıl Eylül 2024’ten bu yana saldırılarda gözlemledikten sonra belgelendi. Kötü amaçlı bir NPM paketi, truva atıfı veya bitBucket deposu veya bir sahte video konferans uygulaması aracılığıyla bir JavaScript yükü ile teslim edildi, barındırılmış bir sunucu komutu ile iletişime geçecek şekilde tasarlanmıştır.
Ottercookie V3’ün, önceden tanımlanmış bir dizi uzantıyı harici sunucuya eşleştiren dosyaları göndermek için yeni bir yükleme modülü içerdiği bulunmuştur. Bu, çevre değişkenleri, görüntüler, belgeler, elektronik tablolar, metin dosyaları ve kripto para cüzdanlarıyla ilişkili anımsatıcı ve kurtarma ifadelerini içeren dosyalardan oluşur.
Bu modülün daha önce sunucudan alınan bir kabuk komutu olarak Ottercookie V2’de yürütüldüğünü belirtmek gerekir.
Kötü amaçlı yazılımın dördüncü yinelemesi, Google Chrome’dan kimlik bilgilerini çalmak için iki modül daha ekleyerek ve Google Chrome, Cesur Tarayıcı ve Icloud Keychain için MetaMask uzantısından veri çıkararak selefini genişletir.
Ottercookie V4’e bir başka yeni özellik eki, Broadcom VMware, Oracle Virtualbox, Microsoft ve QEMU ile ilgili Sanal Makine (VM) ortamlarında yürütülüp yürütülmediğini tespit etme yeteneğidir.
İlginç bir şekilde, Google Chrome kimlik bilgilerini toplamaktan sorumlu ilk Stealer modülünün bunları şifresini çözdükten sonra yaptığı, ikinci modül ise Chrome ve Cesur gibi tarayıcılardan şifreli giriş verilerini hasat ettiği bulunmuştur.
Araştırmacılar Masaya Motoda ve Rintaro Koike, “Veri işleme veya kodlama stilindeki bu fark, bu modüllerin farklı geliştiriciler tarafından geliştirildiği anlamına geliyor.” Dedi.
Açıklama, bulaşıcı görüşme kampanyasıyla ilgili çok sayıda kötü niyetli yükün son aylarda ortaya çıkarıldığı ve tehdit aktörlerinin modus operandilerini iyileştirdiğini gösterdiği için ortaya çıkıyor.
Bu, açıldığında, stealer’ı indirmekten ve kurbanın macOS sistem şifresini hasat etmek için tasarlayıcı bir macOS uygulaması (“driverminupdate.app”) başlatmaktan sorumlu bir kabuk betiği çalıştıran bir Realtek sürücü güncellemesi (“webcam.zip”) kisvesi altında teslim edilen Go tabanlı bir bilgi stealer içerir.
Kötü amaçlı yazılımın, bir iş görüşmesi süreci için çevrimiçi bir değerlendirme sırasında var olmayan ses ve video sorunlarını düzeltmek için ClickFix tarzı lazların kullanılması nedeniyle geçen ay Sekoia tarafından ClickFake Röportajının güncellenmiş bir versiyonunun bir parçası olarak dağıtıldığına inanılmaktadır.
Moonlock, “Stealer’ın birincil rolü, kalıcı bir C2 kanalı oluşturmak, enfekte olmuş sistemi profillemek ve hassas verileri dışarı atmaktır.” Dedi. Diyerek şöyle devam etti: “Bunu sistem keşif, kimlik bilgisi hırsızlığı ve uzaktan komut yürütme kombinasyonu ile başarıyor.”
DriverminUpdate uygulamasının, Chromeupdataalert, ChromeUpdate, CameraCcess ve DriverEasy gibi DMPDump, Sentinelone, Enki ve Kandji tarafından ortaya çıkarılan daha geniş bir benzer kötü amaçlı uygulamanın bir parçası olduğu değerlendirildi.
Kampanyaya bağlı ikinci yeni bir kötü amaçlı yazılım ailesi, InvisibleFerret olarak adlandırılan bilinen bir Python Backdoor’a takip yükü olarak sunulan tsunami-framework. Bir .NET tabanlı modüler kötü amaçlı yazılım, web tarayıcılarından ve kripto para birimi cüzdanlarından çok çeşitli veri çalmak için donanımlıdır.
Alman güvenlik şirketi Hisolutions, geçen ayın sonlarında yayınlanan bir raporda, tuş vuruşlarını, dosyaları toplama, dosya toplama ve hatta erken gelişme altında görünen bir botnet bileşeni için özellikleri de içeriyor.
ESET’e göre bulaşıcı röportajın, Kuzey Kore’den, hem casusluk hem de finansal olarak motive edilen saldırıları ulusun stratejik hedeflerini ilerletmenin ve uluslararası yaptırımların yanına yönelik bir geçmişe sahip olan kötü şöhretli bir hack grubu olan Lazarus Grubunun bir parçası olduğuna inanılıyor.
Bu yılın başlarında, çekişmeli kolektif, kripto para birimi platformu Bybit’ten rekor kıran milyar dolarlık soyguna bağlandı.
Kuzey Koreli BT işçi tehdidi dayanıyor
Bulgular, siber güvenlik şirketi Sophos’un, ünlü Chollima, nikel goblen ve wagemol olarak da bilinen Kuzey Kore’den hileli BT işçisi planının arkasındaki tehdit aktörlerinin, Avrupa ve Asya’daki organizasyonları giderek daha fazla hedeflemeye başladığını ve işleri güvence altına almak ve huni için teknoloji sektörünün ötesindeki endüstrileri hedeflemeye başladığını açıkladı.
Şirketin SecureWorks Counter Tehdit Birimi (CTU), “İstihdam öncesi aşamada, tehdit aktörleri genellikle falsifiye özgeçmişleri ve LinkedIn profilleri için fotoğrafları dijital olarak manipüle ediyor ve önceki çalışma geçmişine veya grup proje iddialarına eşlik ediyor.” Dedi.
Diyerek şöyle devam etti: “Genellikle kendilerinin gerçek görüntüleri ile kaplanmış stok fotoğraflarını kullanıyorlar. Tehdit aktörleri, yazma araçları, görüntü düzenleme araçları ve inşaatçılar da dahil olmak üzere üretken AI kullanımını artırdı.”
Hileli işçiler, bir işe girdikten sonra, fare jiggler yardımcı programları, astrill vpn gibi VPN yazılımı ve uzaktan erişim için IP üzerinden KVM kullanılarak bulundu, hatta bazı durumlarda sekiz saatlik zoom’a başvuran ekran paylaşımı çağrısında bulunuyor.
Geçen hafta, kripto para değişim platformu Kraken, bir mühendislik pozisyonu için rutin bir iş görüşmesinin, Steven Smith adını kullanarak şirkete sızmaya çalışan Kuzey Koreli bir hacker’ı tespit ettikten sonra bir istihbarat toplama operasyonuna nasıl dönüştüğünü açıkladı.
Şirket, “Aday, uzaktan kolej masaüstleri kullandı, ancak konumu ve ağ etkinliğini gizlemek için yaygın olarak konuşlandırılan bir kurulum olan bir VPN aracılığıyla diğer bileşenlerle etkileşime girdi.” Dedi. “Özgeçmişleri, geçmiş veri ihlalinde maruz kalan bir e -posta adresi içeren bir GitHub profiliyle bağlantılıydı.”
“Adayın birincil kimlik biçimi, muhtemelen iki yıl önce bir kimlik hırsızlığı davasında çalınan ayrıntılar kullanılarak değiştirildi.”
Ancak Kraken, adayın başvurusunu açıkça reddetmek yerine, güvenlik ve işe alım ekiplerinin röportaj sürecini “stratejik olarak”, yerlerini onaylamalarını, devlet tarafından verilen bir kimliği tutmalarını ve içinde bulunduğunu iddia ettikleri bazı yerel restoranları önermelerini isteyerek onları yakalamalarını söyledi.
Kraken, “Koşullu ve hazırlıksız yakalandı, temel doğrulama testleriyle mücadele ettiler ve ikamet şehri veya vatandaşlık ülkeleri hakkında gerçek zamanlı soruları ikna edemediler.” Dedi. “Röportajın sonunda gerçek açıktı: Bu meşru bir başvuru sahibi değil, sistemlerimize sızmaya çalışan bir sahtekardı.”
Geçen ay ABD Adalet Bakanlığı (DOJ) tarafından belgelenen başka bir davada, 40 yaşındaki bir Maryland adamı Minh Phuong Ngoc Vong, bir hükümet yüklenicisi ile bir iş sağladıktan ve daha sonra işi Shenyang, Çin’de yaşayan bir Kuzey Koreli ulusal ikamet ettikten sonra sahtekarlıktan suçlu bulundu.
Kuzey Kore’nin binlerce işçisini büyük şirketlere gizleme yeteneği, genellikle dizüstü bilgisayar çiftliği olarak adlandırılan kolaylaştırıcıların yardımıyla, Japon, Güney Kore, İngiltere ve ABD hükümetlerinden tekrarlanan uyarılara yol açtı.
Bu işçilerin bir kuruluş içinde 14 aya kadar harcadıkları bulunmuştur, tehdit aktörleri de fesih sonrasında veri hırsızlığı ve gasp tehditlerine katılmaktadır.
“Organizasyonlar [should] Görüşme sürecinin bir parçası olarak gelişmiş kimlik doğrulama prosedürleri oluşturun, “dedi Sophos.” İnsan kaynakları personeli ve işe alım görevlileri, potansiyel hileli Kuzey Koreli BT işçilerini belirlemelerine yardımcı olmak için bu kampanyalarda kullanılan taktikler konusunda düzenli olarak güncellenmelidir. “
“Ayrıca, kuruluşlar geleneksel içeriden gelen tehdit faaliyetlerini, meşru araçların şüpheli kullanımını ve sıklıkla hileli işçilerle ilişkili faaliyetleri tespit etmek için imkansız seyahat uyarılarını izlemelidir.”