Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Kuzey Kore’nin Ayrıntılı Sosyal Mühendislik Saldırılarına Yönelik Tahminleri Tekrar Başlıyor
Prajeet Nair (@prajeetspeaks) •
29 Nisan 2024
Muhtemelen Kuzey Koreli tehdit aktörleri, devam eden bir casusluk kampanyasının parçası olarak yazılım geliştiricilerini gizlenmiş Python arka kapılarını indirmeleri için kandırmak amacıyla sahte iş görüşmeleri kullanıyor.
Ayrıca bakınız: Küresel Tehdit Raporu 2024: Yönetici Özeti
Saldırganlar, meşru görünmek ve iş fırsatları arayan geliştiriciler için cazip görünmek üzere tasarlanmış sahte iş görüşmesi senaryoları oluşturuyor.
Kampanyayı Dev#Popper olarak izleyen Securonix’in bir raporuna göre, bir kurban kandırıldıktan sonra saldırganlar, iddiaya göre görüşme sürecinin bir parçası olarak GitHub depolarından görünüşte zararsız dosyalar indirmeleri talimatını veriyor.
Pyongyang’lı bilgisayar korsanlarının, güvenlik araştırmacılarına ve teknoloji çalışanlarına ait bilgisayarlara bulaşmak için, LinkedIn’de işe alım uzmanı kılığına girmek ve iş teklifleri içerdiği iddia edilen kimlik avı e-postaları göndermek de dahil olmak üzere, ayrıntılı sosyal mühendislik hileleri oluşturma geçmişi vardır (bkz.: Kuzey Koreli Hackerlar LinkedIn’de Değer Buldu).
Bu şüpheli Kuzey Kore saldırısı, ilk bakışta zararsız görünen aldatıcı bir Node Paket Yöneticisi paketinin konuşlandırılmasını içeriyor. İnfaz sırasında kurbanın sistemine sızmayı tetikler. İlk aşamanın ardından bilgisayar korsanları Python tabanlı bir uzaktan erişim Truva atı yükler.
Arka kapı, saldırganlara hassas bilgilere ve sistem kaynaklarına sınırsız erişim sağlar ve bireysel geliştiriciler ve çalıştıkları kuruluşlar için tehdit oluşturur.
Bu kampanyayı diğerlerinden ayıran şey, geliştiricilerin iş başvuru sürecindeki doğal güveninden faydalanmasıdır. Araştırmacılar, saldırıyla ilişkili GitHub depolarının kaldırılmış olabileceğini ancak tehdidin devam ettiğini söyledi.
Sonraki Aşama Kampanya Detayları
Saldırganın sağladığı Node Paket Yöneticisi paketi, meşru geliştirme araçlarını taklit eden dosyalar içerir.
On executing the downloaded NPM package, the malicious JavaScript code within it is activated through the Node.js işlem. Bu kod, daha fazla sızma için bir ağ geçidi görevi görerek saldırının sonraki aşamalarını başlatır.
JavaScript kodu, gizli bir Python arka kapısını içeren bir arşiv dosyasını indirir ve çıkarır. .npl dosya. Python dosyası olarak etiketlenen dosya, gerçek doğasını gizlemek için dize işleme ve kod çözme tekniklerini kullanıyor.
Arka kapının içindeki Python kodu, saldırganlar tarafından kontrol edilen bir komuta ve kontrol sunucusuyla iletişim kurar.
Python arka kapısı, etiketli bir dosya gibi ek kötü amaçlı komut dosyalarını çalıştırır. pay içinde .n2 dizin. Bu komut dosyaları, veri sızdırma, sistem keşfi ve uzaktan komut yürütme gibi çeşitli kötü amaçlı faaliyetler gerçekleştirir.
Saldırganlar, güvenliği ihlal edilmiş sistemlere kalıcı erişim elde ederek hassas verileri sızdırmalarına, ek kötü amaçlı yazılım yüklemelerine veya güvenliği ihlal edilmiş ortamdan daha fazla yararlanmalarına olanak tanır.