Kuzey Kore bağlantılı Lazarus Grubu Windows, MacOS ve Linux işletim sistemlerini enfekte edebilen kötü amaçlı yazılımlar sunmak için kripto para birimi ve seyahat sektörlerinde sahte LinkedIn Job ve seyahat sektörlerinde sunduğu sahte bir kampanyaya bağlanmıştır.
Siber güvenlik şirketi Bitdefender’a göre, aldatmaca profesyonel bir sosyal medya ağına gönderilen bir mesajla başlar ve onları uzak çalışma, yarı zamanlı esneklik ve iyi ücret vaadiyle ikna eder.
Roman firması, hacker News ile paylaşılan bir raporda, “Hedef faiz ifade ettikten sonra, ‘işe alma süreci’ ortaya çıkıyor, dolandırıcı bir CV veya hatta kişisel bir GitHub depo bağlantısı istiyor.” Dedi.
“Görünüşe göre masum olmasına rağmen, bu talepler kişisel verilerin hasat edilmesi veya etkileşime bir meşruiyet kaplaması ödünç vermek gibi hain amaçlara hizmet edebilir.”
Talep edilen ayrıntılar elde edildikten sonra, saldırı bir sonraki aşamaya geçer, burada bir işveren kisvesi altındaki tehdit oyuncusu, bir GitHub veya Bitbucket deposuna bir bağlantı paylaşır (sözde merkezi olmayan bir değişim (MVP) versiyonunu (MVP) versiyonu ( Dex) Mağdura bunu kontrol etmeleri ve geri bildirimlerini vermeleri için proje ve talimat verir.
Kod içinde, API.NPoint’ten bir sonraki aşamadan bir yükü almak üzere yapılandırılmış gizlenmiş bir komut dosyası bulunmaktadır.[.]IO, kurbanın tarayıcısına yüklenebilecek çeşitli kripto para birimi cüzdan uzantılarından veri toplayabilen platformlar arası bir JavaScript bilgi çalkanı.
Stealer ayrıca, pano içeriği değişikliklerini izlemek, kalıcı uzaktan erişimi korumak ve ek kötü amaçlı yazılımları bırakmaktan sorumlu bir Python tabanlı arka kapı almak için bir yükleyici olarak ikiye katlanır.
Bu aşamada, BitdeFender sergisinin belgelendiği taktiklerin, Beavertail ve Python implant adı verilen bir javascript stealer’ı bırakmak için tasarlanmış bilinen bir saldırı etkinliği kümesi ile örtüştüğünü belirtmek gerekir. .
Python kötü amaçlı yazılım aracılığıyla dağıtılan kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusu ile iletişim kurmak, temel sistem bilgilerini açıklamak ve başka bir yükü sunabilen bir Tor Proxy sunucusunu başlatabilen bir .NET ikilidir. , hassas verileri sifon yapabilir, tuş vuruşlarını kaydedebilir ve bir kripto para madencisi başlatabilir.
“Tehdit aktörlerinin enfeksiyon zinciri karmaşıktır, birden fazla programlama dilinde yazılmış kötü amaçlı yazılımlar içerir ve kendilerini tekrarlayan ve yürüten çok katmanlı python komut dosyaları gibi çeşitli teknolojiler kullanılarak, ilk olarak ilerleyen bir javascript stealer, tarayıcı verilerini değiştirmeden önce bir javascript stealer. Bitdefender, diğer yükler ve güvenlik araçlarını devre dışı bırakabilen, bir TOR vekilini yapılandırabilen ve kripto madencileri başlatabilen .NET tabanlı stagers.
Bu çabaların, LinkedIn ve Reddit’te paylaşılan raporlara göre, genel saldırı zincirine küçük ayarlamalarla oldukça yaygın olduğunu gösteren kanıtlar var. Bazı durumlarda, adaylardan bir Web3 deposunu klonlamaları ve bir görüşme sürecinin bir parçası olarak yerel olarak çalıştırmaları istenirken, diğerlerinde kodda kasıtlı olarak tanıtılan hataları düzeltmeleri istenir.
Söz konusu Bitbucket depolarından biri “Miketoken_v2” adlı bir projeyi ifade ediyor. Kod barındırma platformunda artık erişilemiyor.
Açıklama, Sentinelone’un bulaşıcı röportaj kampanyasının, esnek bir şekilde kod adlı başka bir kötü amaçlı yazılım sunmak için kullanıldığını açıkladıktan bir gün sonra geliyor.