ESET araştırmacıları, 20241’in başından beri aktif olan, Alışım Geliştirme olarak bilinen Kuzey Kore’ye hizalanmış bir grup tarafından düzenlenen bir dizi kötü niyetli faaliyeti ortaya çıkardılar.
Siber suçlular şirket işe alım görevlileri olarak poz veriyor ve sahte istihdam teklifleri olan serbest yazılım geliştiricilerini cazip hale getiriyor.
Ayrıntılı Ruse’un bir parçası olarak, hedeflerden özel GitHub depolarında barındırılan gerekli dosyalarla mevcut projelere özellikler ekleme gibi kodlama testlerini tamamlamaları istenir.
Adaylardan habersiz olarak, bu dosyalar truva atılıyor ve yürütüldükten sonra, kurbanın bilgisayarı operasyonun ilk aşamalı kötü amaçlı yazılım Beaverail ile tehlikeye atılıyor.
Alınan Geliştirme, Truva Projeleri ile serbest geliştiricileri hedefler
Alınan Geliştirme, öncelikle kripto para birimi ve merkezi olmayan finans projelerinde yer alan yazılım geliştiricilerini hedefleyen iş avcısı ve serbest çalışan sitelerde mızrak aktarma taktikleri kullanır.
Saldırganlar, fon ve bilgi çıkarma şansını en üst düzeye çıkarmak için mümkün olduğunca çok kurbandan ödün vermeyi amaçlayan coğrafi konuma göre ayrımcılık yapmazlar.
Grup, Windows, Linux ve MacOS sistemlerine başarıyla sızdı.
İlk erişim, Lazarus Group’un DreamJob Operasyonu’na benzer şekilde sosyal medyadaki sahte işe alım profilleri aracılığıyla kazanılır, ancak Savunma ve Havacılık Mühendislerini hedeflemek yerine, Alınan Geliştirme serbest yazılım geliştiricilerine odaklanır.
Kuzey Kore’ye uyumlu etkinlik kümesi, kripto para birimini çalmayı ve giriş bilgilerini hedefliyor
ESET araştırmacılarına göre, saldırganlar genellikle kötü amaçlı kodlarını gizlemek için akıllı bir hile kullanıyorlar.
Bunu, genellikle atanan görevle ilgisi olmayan arka uç koduna, uzun bir yorumun arkasında tek bir satır olarak ekleyerek, kodu etkin bir şekilde ekran dışı taşıyan projenin iyi huylu bir bileşenine yerleştirirler.
Bu saldırılarda kullanılan birincil kötü amaçlı yazılım aileleri Beaverail ve InvisibleFerret’dir.
Bir infostealer ve indirici olan Beaverail, kaydedilmiş girişler içeren tarayıcı veritabanlarını çıkarır ve ikinci aşama için bir indirici olarak görev yapar.
InvisibleFerret, casus yazılım ve arka kapı bileşenlerine sahip modüler, python tabanlı bir kötü amaçlı yazılımdır.
Ayrıca, anydesk gibi meşru uzaktan yönetim yazılımını, kontromise sonrası faaliyetler için indirebilir.
Alınan geliştirmenin Kuzey Kore’ye atfedilmesi, saldırganlar tarafından kontrol edilen GitHub hesapları ile Kuzey Koreli BT işçileri tarafından kullanılan sahte CV’leri içeren hesaplar arasındaki bağlantılara dayanmaktadır.
Bu bireyler, rejim için gelir elde etmek için sahte kimlikler altındaki yabancı şirketlerde iş için başvururlar.
Alınan geliştirme tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler), Moonstone Squet ve Lazarus’un Dreamjob kampanyası gibi bilinen Kuzey Kore’ye uyumlu operasyonlara benzer.
Çabalarına rağmen, tehdit aktörleri genellikle geliştirme notlarını kaldırmamak veya kodlarından yorumlanan yerel IP adreslerini yorumlamak gibi ayrıntılara dikkat eksikliği sergilerler.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here