Şubat 2025’te devasa Bybit Hack’in arkasında olduğu değerlendirilen Kuzey Kore bağlantılı tehdit oyuncusu, geliştiricileri bir kodlama ataması altında yeni stealer kötü amaçlı yazılım sunmayı hedefleyen kötü niyetli bir kampanyaya bağlandı.
Etkinlik, Palo Alto Networks Birimi 42 tarafından bir hackleme grubuna atfedildi. Yavaş BalıkJade Sleet, Pukchong, TraderTraitor ve UNC4899 olarak da bilinen.
Güvenlik araştırmacısı Prashil Pattni, “Yavaş Balık, LinkedIn’de kripto para geliştiricilerle meşgul, potansiyel işverenler olarak poz veriyor ve kodlama zorlukları olarak gizlenmiş kötü amaçlı yazılım gönderiyor.” Dedi. “Bu zorluklar, geliştiricilerin RN Loader ve RN Stealer adını verdiğimiz kötü amaçlı yazılımları kullanarak sistemlerini enfekte ederek tehlikeye atılmış bir proje yürütmelerini gerektiriyor.”
Slow Pisces, tipik olarak kripto para birimi sektöründe, sözde bir iş fırsatının bir parçası olarak LinkedIn’e yaklaşarak ve GitHub’da barındırılan kodlama atamasını detaylandıran bir PDF belgesi açmaya ikna ederek geliştiricileri hedefleme geçmişine sahiptir.
Temmuz 2023’te Github, blockchain, kripto para birimi, çevrimiçi kumar ve siber güvenlik şirketlerinde çalışan çalışanların tehdit oyuncusu tarafından seçildiğini ve onları kötü niyetli NPM paketleri çalıştırmaya aldığını açıkladı.
Daha sonra geçen Haziran ayında, Google’a ait Mandiant, ilk önce LinkedIn’deki hedeflere gönderme ve iddia edilen bir iş fırsatı için bir iş tanımı içeren iyi huylu bir PDF belgesi göndermek ve ilgiyi ifade etmeleri durumunda bir beceri anketi ile takip etmek için Saldırganlar Modus Operandi’yi detaylandırdı.
Anket, GitHub’dan, görünüşte kripto para fiyatlarını görüntüleyebilen bir truva atı Python projesini indirerek bir kodlama zorluğunu tamamlamak için talimatları içeriyordu. Belirli koşullar yerine getirilirse belirtilmemiş bir ikinci aşama yükü almak için uzak bir sunucu ile temasa geçmek üzere tasarlandı.
Ünite 42 tarafından belgelenen çok aşamalı saldırı zinciri aynı yaklaşımı izler, kötü amaçlı yük yükü yalnızca IP adresi, coğrafi konum, zaman ve HTTP istek başlıklarına göre doğrulanmış hedeflere gönderilir.
Pattni, “Geniş kimlik avı kampanyalarının aksine LinkedIn aracılığıyla temasa geçen bireylere odaklanmak, grubun kampanyanın sonraki aşamalarını sıkı bir şekilde kontrol etmesine ve yükleri sadece beklenen kurbanlara sunmasına izin veriyor.” Dedi. “Şüpheli değerlendirme ve EXEC işlevlerinden kaçınmak için Slow Pisces, yükünü yürütmek için YAML sealizasyonunu kullanır.”
Yük, kurban makinesi ve işletim sistemi hakkında HTTPS üzerinden aynı sunucuya temel bilgileri gönderen ve bir sonraki aşamalı baz kodlu bir blob alan ve yürüten RN Loader adlı bir kötü amaçlı yazılım ailesini yürütecek şekilde yapılandırılmıştır.
Yeni indirilen kötü amaçlı yazılım, enfekte edilmiş Apple macOS sistemlerinden hassas bilgileri hasat edebilen bir bilgi stealer olan RN Stealer’dır. Bu, sistem meta verileri, yüklü uygulamalar, dizin listesi ve kurbanın ana dizininin üst düzey içeriğini, iCloud anahtarını, depolanmış SSH tuşlarını ve AWS, Kubernetes ve Google Cloud için yapılandırma dosyalarını içerir.
Ünite 42, “Infostealer, saldırganların muhtemelen erişime ihtiyaç duyup duymadıklarını belirlemek için kullandıkları daha ayrıntılı kurban bilgileri toplar.” Dedi.
Bir JavaScript rolü için başvuran hedefli kurbanların, GitHub’dan komut ve kontrol (C2) sunucusunun yalnızca hedefler belirli kriterleri karşıladığında ek yükler sunduğu benzer bir strateji kullanan bir “kripto para birimi gösterge paneli” projesi indirmeleri istenir. Ancak, yükün kesin doğası bilinmemektedir.
Pattni, “Depo, C2 sunucusundan EJS.Render () işlevine yanıtları aktararak gömülü JavaScript (EJS) şablonu aracını kullanıyor.” “Yaml.load () ‘nin kullanımı gibi, bu Slow Pisces’in C2 sunucularından keyfi kodun yürütülmesini gizlemek için kullandığı başka bir tekniktir ve bu yöntem belki de yalnızca geçerli bir yükü görüntülerken belirgindir.”
Jade Sleet, bir kötü amaçlı yazılım distribütörü vektörü olarak iş fırsatı temalı cazibesinden yararlanmak için birçok Kuzey Koreli tehdit faaliyet kümesinden biridir, diğerleri Dream Job, bulaşıcı röportaj ve çekici Balıklar.
Ünite 42, “Bu gruplar operasyonel örtüşme içermiyor. Ancak, benzer başlangıç enfeksiyon vektörlerinden yararlanan bu kampanyalar dikkat çekicidir.” “Yavaş Balık, operasyonel güvenlik konusundaki akranlarının kampanyalarından öne çıkıyor. Her aşamada yüklerin teslimi yoğun bir şekilde korunuyor, sadece bellekte mevcut. Ve grubun daha sonraki aşama takımları sadece gerektiğinde konuşlandırılıyor.”